从勒索病毒加密的SQLServer数据库中恢复数据
1. 问题描述
用户的SQLServer数据库遭到"LockBit"勒索病毒攻击,数据库宕机无法访问。
SQLServer数据库数据文件被加密且扩展了文件后缀名:“.lockbit”。
如:
数据文件原有文件名为:“testdb1.mdf”
加密后的文件名则被修改为:“testdb1.mdf.lockbit”
同时在被加密的文件目录下留了一封勒索信:“Restore-My-Files.txt”
2. "LockBit"病毒加密分析
知道了文件名被篡改,第一想法是把文件名改回原来的名字,看看是否能拉起数据库,但是尝试失败(想想也是,病毒没那么傻~~)。
那么就只有深入研究下被加密的数据文件,看看到底病毒做了哪些手脚。
通过十六进制编辑器工具打开被加密的文件, 发现文件确实被加密了。
左图是被加密的文件,右图是正常的数据文件。加密后的文件显示为乱码形式。
看到这一幕,有点绝望,在不知道加密算法和密钥的情况下,解密的可能性为0…
好吧,再往下看看,果然有惊喜!
勒索病毒只加密了文件头部256KB字节的内容,之后的数据没有被加密!
为什么只加密文件头的一部分数据?
想想是因为勒索病毒采用的加密算法加密强度太高了,加密时所需时间很长。而对于动不动就上百GB的数据库文件而言,加密时间就更长了。
对于对称加密算法而言,加密时间长,解密时间也长,黑客也不想给自己找麻烦。
3.数据恢复思路
SQLServe数据文件MDF格式,8KB是一个页面。
病毒加密了前256KB数据,也就是 32 个页面。
而对于SQLServe来说,前32个页面基本是数据库创建时就填充的数据库系统信息,很少有用户表数据存储于前32页面中。
那么数据恢复的方法也就明确了:跳过前32个页面,扫描32页之后的有效数据,将其恢复到新的数据库中!
4.恢复实战
根据SQLServer MDF 数据文件的组织格式,层层剖析,恢复页面中的有效数据。
具体实施起来挺复杂,不光要考虑普通表数据,还要考虑LOB大对象数据、视图/函数/存储过程 等对象的恢复,总之力求完美,SQLServer有的对象,都要考虑进去。
最终将加密的数据库成功恢复出来,数据验证使用正常!
5.友情提示
1)做好局域网防护
局域网内的主机密码不要使用相同的密码,一台攻陷,全网瘫痪!同时关闭不必要的网络端口。
2) 此方法只能恢复被加密的SQLServer数据库数据文件,其它类型的文件,如 word、图片等无法恢复出来。
从勒索病毒加密的SQLServer数据库中恢复数据相关推荐
- 360病毒|360后缀文件|360勒索病毒|文件被加密为360|中了360勒索病毒怎么办?|数据库文件恢复|数据恢复|
什么是勒索病毒 勒索病毒是一种目前流行的病毒,通过网络等多种途径传播,受害者电脑感染该病毒后后,病毒将自动加密受害者电脑里的多种常见文件,使得受害者的重要资料文件无法正常使用,或者是锁住用户电脑,并以 ...
- 达思SQL数据库修复软件1.7(支持碎片重组、支持勒索病毒加密的sql数据库修复软件)
达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复) 达思SQL数据库修复软件 D-Recovery for MS SQL Server 界面 达思SQL数据库修复软件(支持碎片重组,支持 ...
- 达思SQL数据库修复软件1.7(支持碎片重组、支持勒索病毒加密的sql数据库修复软件)...
达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复) 详细介绍 达思SQL数据库修复软件 D-Recovery for MS SQL Server 界面 达思SQL数据库修复软件(支持碎片 ...
- Windows系统被faust勒索病毒攻击勒索病毒解密服务器与数据库解密恢复
在近期,一种名为faust后缀的勒索病毒威胁已经引起了全球计算机系统安全领域的关注.faust勒索病毒是一种基于RSA加密算法的恶意软件,能够加密目标计算机系统上的所有文件,并向用户勒索赎金来承诺解密 ...
- itunes备份和恢复速度一样吗_Mac技巧分享:如何从加密的iTunes备份中恢复数据?...
为了增强iTunes备份的安全性,您可以在iTunes中选中"加密iPhone备份"选项.但是,如果您忘记,丢失或忘记了备份密码,则在取回密码之前,不能取消选中"加密iP ...
- 一卡通综合管理平台中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库怎么用达思SQL数据库修复软件完美修复?
用达思SQL数据库修复软件怎么修复中了后缀.[mr.hacker@tutanota.com]的勒索病毒加密的数据库?(一卡通综合管理平台) 2.33GB的sql数据库被后缀.[mr.hacker@tu ...
- 在AWS RDS SQL Server中恢复数据
This article explores the process to recover data in AWS RDS SQL Server and its recent enhancements. ...
- Windows系统文件被faust勒索病毒加密勒索病毒解密恢复,电脑中病毒了怎么修复?
恶意软件的攻击已经让电脑用户变得更加谨慎了.在最近的一波攻击中,faust勒索病毒已经对使用Windows系统的计算机造成了广泛的破坏.该病毒利用加密技术锁定用户的文件,只有在支付一定数额的赎金后才会 ...
- lockbit勒索病毒专杀工具,.lockbit勒索病毒数据恢复,lockbit勒索病毒解密处理,数据库恢复
lockbit勒索病毒专杀工具,.lockbit勒索病毒数据恢复,lockbit勒索病毒解密处理,数据库恢复 目录: lockbit勒索病毒简述 计算机感染lockbit勒索病毒后的表现 lockbi ...
- 解密.[support2022@cock.li].faust后缀勒索病毒加密的文件:拯救您的企业数据的完整指南!
引言: 您的企业数据是您业务的核心.但是,当.[support2022@cock.li].faust后缀勒索病毒突袭您的系统时,您的数据将遭受沉重打击.这种恶意软件利用高级加密算法,将您的文件锁定在无 ...
最新文章
- java中getDelta是什么意思_Java IResourceDelta.getMarkerDeltas方法代码示例
- 实用的 GitHub 仓库搜索技巧
- 14-运算符(比较、三元、逻辑)14-运算符(比较、三元、逻辑)
- 反转字符串中的单词 III leetcode
- Chrome、Edge 合力围剿,Safari 夹缝求生?
- php 置多条cookie,php 在cookie存储多个的简单示例
- context-param标签含义及与init-param标签的异同(转)
- springweb 初步理解
- 图论500道题--评测平台+算法标签
- python 安装impala包
- KeyRaider:迄今最大规模的苹果账号泄露事件
- Appium 1.21.x 百度网盘下载
- OpenCV开发笔记(六十一):红胖子8分钟带你深入了解Shi-Tomasi角点检测(图文并茂+浅显易懂+程序源码)
- 解决问题:Something‘s wrong--perhaps a missing \item. \end{thebibliography}
- html5横向导航菜单代码,css 横向菜单实现代码
- 利用排序规则特点计算汉字笔划和取得拼音首字母
- 腾讯云服务器+RAKSmart国内外服务器使用记录
- 远程桌面 连接栏不见无法退出
- 分享一些个人觉得非常好用的软件吧
- matlab怎样编程形成软件_Matlab编程笔记之GUI程序转exe