从勒索病毒加密的SQLServer数据库中恢复数据
1. 问题描述
用户的SQLServer数据库遭到"LockBit"勒索病毒攻击,数据库宕机无法访问。
SQLServer数据库数据文件被加密且扩展了文件后缀名:“.lockbit”。
如:
数据文件原有文件名为:“testdb1.mdf”
加密后的文件名则被修改为:“testdb1.mdf.lockbit”
同时在被加密的文件目录下留了一封勒索信:“Restore-My-Files.txt”
2. "LockBit"病毒加密分析
知道了文件名被篡改,第一想法是把文件名改回原来的名字,看看是否能拉起数据库,但是尝试失败(想想也是,病毒没那么傻~~)。
那么就只有深入研究下被加密的数据文件,看看到底病毒做了哪些手脚。
通过十六进制编辑器工具打开被加密的文件, 发现文件确实被加密了。
左图是被加密的文件,右图是正常的数据文件。加密后的文件显示为乱码形式。
看到这一幕,有点绝望,在不知道加密算法和密钥的情况下,解密的可能性为0…
好吧,再往下看看,果然有惊喜!
勒索病毒只加密了文件头部256KB字节的内容,之后的数据没有被加密!
为什么只加密文件头的一部分数据?
想想是因为勒索病毒采用的加密算法加密强度太高了,加密时所需时间很长。而对于动不动就上百GB的数据库文件而言,加密时间就更长了。
对于对称加密算法而言,加密时间长,解密时间也长,黑客也不想给自己找麻烦。
3.数据恢复思路
SQLServe数据文件MDF格式,8KB是一个页面。
病毒加密了前256KB数据,也就是 32 个页面。
而对于SQLServe来说,前32个页面基本是数据库创建时就填充的数据库系统信息,很少有用户表数据存储于前32页面中。
那么数据恢复的方法也就明确了:跳过前32个页面,扫描32页之后的有效数据,将其恢复到新的数据库中!
4.恢复实战
根据SQLServer MDF 数据文件的组织格式,层层剖析,恢复页面中的有效数据。
具体实施起来挺复杂,不光要考虑普通表数据,还要考虑LOB大对象数据、视图/函数/存储过程 等对象的恢复,总之力求完美,SQLServer有的对象,都要考虑进去。
最终将加密的数据库成功恢复出来,数据验证使用正常!
5.友情提示
1)做好局域网防护
局域网内的主机密码不要使用相同的密码,一台攻陷,全网瘫痪!同时关闭不必要的网络端口。
2) 此方法只能恢复被加密的SQLServer数据库数据文件,其它类型的文件,如 word、图片等无法恢复出来。
从勒索病毒加密的SQLServer数据库中恢复数据相关推荐
- 360病毒|360后缀文件|360勒索病毒|文件被加密为360|中了360勒索病毒怎么办?|数据库文件恢复|数据恢复|
什么是勒索病毒 勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以 ...
- 达思SQL数据库修复软件1.7(支持碎片重组、支持勒索病毒加密的sql数据库修复软件)
达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复) 达思SQL数据库修复软件 D-Recovery for MS SQL Server 界面 达思SQL数据库修复软件(支持碎片重组,支持 ...
- 达思SQL数据库修复软件1.7(支持碎片重组、支持勒索病毒加密的sql数据库修复软件)...
达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复) 详细介绍 达思SQL数据库修复软件 D-Recovery for MS SQL Server 界面 达思SQL数据库修复软件(支持碎片 ...
- Windows系统被faust勒索病毒攻击勒索病毒解密服务器与数据库解密恢复
在近期,一种名为faust后缀的勒索病毒威胁已经引起了全球计算机系统安全领域的关注.faust勒索病毒是一种基于RSA加密算法的恶意软件,能够加密目标计算机系统上的所有文件,并向用户勒索赎金来承诺解密 ...
- itunes备份和恢复速度一样吗_Mac技巧分享:如何从加密的iTunes备份中恢复数据?...
为了增强iTunes备份的安全性,您可以在iTunes中选中"加密iPhone备份"选项.但是,如果您忘记,丢失或忘记了备份密码,则在取回密码之前,不能取消选中"加密iP ...
- 一卡通综合管理平台中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库怎么用达思SQL数据库修复软件完美修复?
用达思SQL数据库修复软件怎么修复中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库?(一卡通综合管理平台) 2.33GB的sql数据库被后缀.[mr.hacker@tu ...
- 在AWS RDS SQL Server中恢复数据
This article explores the process to recover data in AWS RDS SQL Server and its recent enhancements. ...
- Windows系统文件被faust勒索病毒加密勒索病毒解密恢复,电脑中病毒了怎么修复?
恶意软件的攻击已经让电脑用户变得更加谨慎了.在最近的一波攻击中,faust勒索病毒已经对使用Windows系统的计算机造成了广泛的破坏.该病毒利用加密技术锁定用户的文件,只有在支付一定数额的赎金后才会 ...
- lockbit勒索病毒专杀工具,.lockbit勒索病毒数据恢复,lockbit勒索病毒解密处理,数据库恢复
lockbit勒索病毒专杀工具,.lockbit勒索病毒数据恢复,lockbit勒索病毒解密处理,数据库恢复 目录: lockbit勒索病毒简述 计算机感染lockbit勒索病毒后的表现 lockbi ...
- 解密.[support2022@cock.li].faust后缀勒索病毒加密的文件:拯救您的企业数据的完整指南!
引言: 您的企业数据是您业务的核心.但是,当.[support2022@cock.li].faust后缀勒索病毒突袭您的系统时,您的数据将遭受沉重打击.这种恶意软件利用高级加密算法,将您的文件锁定在无 ...
最新文章
- 【飞行术】Web2.0如何改变电信业
- 基于kryo序列化方案的memcached-session-manager多memcached...
- Red Hat Enterprise Linux Server release 6.3下ganglia监控系统的搭建
- HttpServlet中的service方法
- 《系统集成项目管理工程师》必背100个知识点-01项目特点
- 一个java处理JSON格式数据的通用类(三)
- Android帧缓冲区(Frame Buffer)硬件抽象层(HAL)模块Gralloc的实现原理分析(9)...
- 禅道的安装与简单使用
- 最大子段和动态规划_动态规划解决最大正方形问题
- discuz 门户diy实现翻页功能的修改记录
- java毕业设计成品源码网站基于SpringBoot旅游信息管理系统
- chrome插件开发——option(选项页)的通信
- 6款好用的文字云工具
- 计算机软件方面的基金,天天基金
- 解决mysql 1864 主从错误
- LP前缀是什么意思?
- 苹果6s上市时间_6s为什么会在iOS14系统支持名单?
- 应对新《劳动合同法》 万名华为员工自选去留
- [Unity 代码写法整理]嵌套判断问题(一)
- 彗星mysql_为什么彗星被认为是一个“脏雪球”?