SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復環(huán)境&故障：

北亞企安數(shù)據(jù)恢復——SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復

一臺服務器上的SQLserver數(shù)據(jù)庫被勒索病毒加密，無法正常使用。該服務器上部署有多個SQLserver數(shù)據(jù)庫，其中有2個數(shù)據(jù)庫及備份文件被加密，文件名被篡改，數(shù)據(jù)庫無法使用。

SQL server數(shù)據(jù)庫數(shù)據(jù)恢復過程：

1、將故障服務器上所有磁盤編號后取出，經(jīng)過硬件工程師檢測沒有發(fā)現(xiàn)有硬盤存在物理故障。將所有磁盤以只讀方式進行扇區(qū)級的全盤鏡像備份，備份完成后將所有磁盤按照編號還原到原服務器中，后續(xù)的數(shù)據(jù)分析和數(shù)據(jù)恢復操作都基于鏡像文件進行，避免對原始磁盤數(shù)據(jù)造成二次破壞。

2、在鏡像文件中使用工具打開SQLserver數(shù)據(jù)庫，經(jīng)過檢查發(fā)現(xiàn)SQLserver數(shù)據(jù)庫底層數(shù)據(jù)中的頭部信息被破壞。

北亞企安數(shù)據(jù)恢復——SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復

3、北亞企安數(shù)據(jù)恢復工程師根據(jù)SQLserver數(shù)據(jù)庫底層數(shù)據(jù)分布規(guī)律分析病毒的加密方式。經(jīng)過分析發(fā)現(xiàn)該SQLserver數(shù)據(jù)庫頁為8K，將底層數(shù)據(jù)按8K切塊并向下查找分析加密方式。經(jīng)過分析發(fā)現(xiàn)病毒采用加密方式是每隔128k進行一次大小為125字節(jié)的加密。

北亞企安數(shù)據(jù)恢復——SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復

4、繼續(xù)分析SQLserver數(shù)據(jù)庫備份文件底層數(shù)據(jù)，發(fā)現(xiàn)備份文件的加密規(guī)律和SQLserver數(shù)據(jù)庫的加密規(guī)律完全相同。

北亞企安數(shù)據(jù)恢復——SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復

SqlServer數(shù)據(jù)庫起始頁標志為01 0F，北亞企安數(shù)據(jù)恢復工程師在底層檢索SqlServer數(shù)據(jù)庫頁的起始標志，經(jīng)過檢索發(fā)現(xiàn)SqlServer數(shù)據(jù)庫備份的頭部記錄沒有被破壞，SqlServer數(shù)據(jù)庫備份的頭部記錄了SqlServer數(shù)據(jù)庫的備份信息。由于SqlServer數(shù)據(jù)庫頁的起始位置發(fā)生了向下的偏移，

導致SqlServer數(shù)據(jù)庫中的加密位置和SqlServer數(shù)據(jù)庫備份數(shù)據(jù)中的加密位置剛好錯開，因此SqlServer數(shù)據(jù)庫備份中的起始標志未被破壞。

北亞企安數(shù)據(jù)恢復——SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復

5、由于SqlServer數(shù)據(jù)庫加密位置與SqlServer數(shù)據(jù)庫備份文件加密位置剛好錯開，北亞企安數(shù)據(jù)恢復工程師結(jié)合SqlServer數(shù)據(jù)庫備份文件來修復SqlServer數(shù)據(jù)庫中的加密頁。修復完成后通過SqlServer數(shù)據(jù)庫管理工具將修復好的SqlServer數(shù)據(jù)庫進行附加&檢查，經(jīng)過檢查驗證，SqlServer數(shù)據(jù)庫可以正常使用。

交由用戶方工程師對恢復出來的SqlServer數(shù)據(jù)庫數(shù)據(jù)進行驗證，經(jīng)過反復的驗證確認SqlServer數(shù)據(jù)庫內(nèi)的所有數(shù)據(jù)完整有效。本次數(shù)據(jù)恢復工作完成。

北亞企安數(shù)據(jù)恢復——SQLserver數(shù)據(jù)庫數(shù)據(jù)恢復