从勒索病毒加密的SQLServer数据库中恢复数据

已于 2024-04-03 10:21:19 修改
阅读量4.9k 收藏 12
点赞数
文章标签: sqlserver 勒索病毒 LockBit 数据恢复
于 2021-03-31 12:17:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/duanbeibei/article/details/115342914
版权

1. 问题描述

用户的SQLServer数据库遭到"LockBit"勒索病毒攻击,数据库宕机无法访问。

SQLServer数据库数据文件被加密且扩展了文件后缀名:“.lockbit”。
如:
数据文件原有文件名为:“testdb1.mdf”
加密后的文件名则被修改为:“testdb1.mdf.lockbit

同时在被加密的文件目录下留了一封勒索信:“Restore-My-Files.txt”
在这里插入图片描述

2. "LockBit"病毒加密分析

知道了文件名被篡改,第一想法是把文件名改回原来的名字,看看是否能拉起数据库,但是尝试失败(想想也是,病毒没那么傻~~)。

那么就只有深入研究下被加密的数据文件,看看到底病毒做了哪些手脚。
通过十六进制编辑器工具打开被加密的文件, 发现文件确实被加密了。
左图是被加密的文件,右图是正常的数据文件。加密后的文件显示为乱码形式。
在这里插入图片描述
看到这一幕,有点绝望,在不知道加密算法和密钥的情况下,解密的可能性为0…

好吧,再往下看看,果然有惊喜!
勒索病毒只加密了文件头部256KB字节的内容,之后的数据没有被加密!
在这里插入图片描述

为什么只加密文件头的一部分数据?
想想是因为勒索病毒采用的加密算法加密强度太高了,加密时所需时间很长。而对于动不动就上百GB的数据库文件而言,加密时间就更长了。

对于对称加密算法而言,加密时间长,解密时间也长,黑客也不想给自己找麻烦。


3.数据恢复思路

SQLServe数据文件MDF格式,8KB是一个页面。
病毒加密了前256KB数据,也就是 32 个页面。
而对于SQLServe来说,前32个页面基本是数据库创建时就填充的数据库系统信息,很少有用户表数据存储于前32页面中。

那么数据恢复的方法也就明确了:跳过前32个页面,扫描32页之后的有效数据,将其恢复到新的数据库中!


4.恢复实战

根据SQLServer MDF 数据文件的组织格式,层层剖析,恢复页面中的有效数据。

具体实施起来挺复杂,不光要考虑普通表数据,还要考虑LOB大对象数据、视图/函数/存储过程 等对象的恢复,总之力求完美,SQLServer有的对象,都要考虑进去。

最终将加密的数据库成功恢复出来,数据验证使用正常!
在这里插入图片描述

5.友情提示

1)做好局域网防护
局域网内的主机密码不要使用相同的密码,一台攻陷,全网瘫痪!同时关闭不必要的网络端口。

2) 此方法只能恢复被加密的SQLServer数据库数据文件,其它类型的文件,如 word、图片等无法恢复出来。

duanbeibei
关注
SQLserver勒索病毒或严重损坏后的恢复数据方法
jun_0214的专栏
11-08 2573
Sqlserver数据库毒或损坏后后MDF文件很多页面包括系统页面损坏, 导致无法附加到SQLserver数据库服务上。 下面介绍如何利用鱼肠剑SQL数据恢复恢复数据。此方法能恢复出未被损坏部分的数据。 1: 首先你除了损坏的数据库MDF文件(坏的MDF)外。 你需要有一个完好的以前备份的MDF或初始安装库(如果实在没有则需要建立一个空数据库然后在这个空数据库里初始化需要恢复的表结构),这个备份或初始MDF我们称为(好的MDF). 2:下载工具鱼肠剑SQL数据恢复。解压并打开 sqlrecove
非常好用的SQL数据勒索病毒的修复工具
07-26
数据库勒索病毒可以用这个把数据修复到能打开提取数据
sqlserver 病毒恢复工工具
05-07
sqlserver 病毒恢复工工具,勒索病毒mdf损坏等 可恢复脚本数据
SQL Server 用户应当如何防范 Mallox (.hmallox) 勒索软件袭击
sanyuan7783的博客
07-10 879
勒索软件领域的特点是随着时间的流逝,参与者群体和恶意软件家族都会大量流失,只有少数参与者表现出相对长寿的寿命。曾经令人担忧的威胁,如 REvil 和 Conti,要么被铲除,要么被解散,而其他威胁——例如 ALPHV、Black Basta 和 LockBit——仍然存在并对企业造成勒索威胁。在后者,我们还可以添加 Mallox(又名TargetCompany),这是一种鲜为人知但长期存在的勒索软件威胁,于 2021 年首次出现。如今,该组织继续窃取和泄露源源不断的企业数据
数据库数据恢复SQLserver数据库勒索病毒加密数据恢复案例
beiya123的博客
11-23 326
一台服务器上的SQLserver数据库勒索病毒加密,无法正常使用。该服务器上部署有多个SQLserver数据库,其有2个数据库及备份文件被加密,文件名被篡改,数据库无法使用。
SQLServer数据库勒索病毒MDF文件扩展名被篡改了。
热门推荐
jogewang的专栏
07-29 1万+
如果您的服务器勒索病毒,扩展名被篡改了。 SQLServer数据库勒索病毒MDF文件扩展名被篡改了。 从以下几点着手,电脑不容易毒: 1.用新版本的操作系统(PC安装win10,Server安装Win2019) 2.打全所有补丁(用360补丁工具) 3.设电脑为强密码 4.关掉所有不用的端口 最安全的处理方式:【异地备份重要数据,一天一次。】 SQL数据库可以做修复恢复,QQ...
后缀:.360勒索病毒恢复成功案例!勒索病毒解密|数据库恢复|文档恢复
最新发布
zjh3025629885的博客
08-05 606
360后缀勒索病毒属于Beijingcrypt勒索病毒家族,一旦不幸毒几乎全盘文件都会被加密加密文件后缀会被修改为 .360 , 在我们的正常数据格式DOCX、xlsx、jpg后面生成后缀名称.360,例如:1.JPG.360、1.XLSX.360、1.DOCX.360导致我们的文件无法打开读取写入,同时该病毒还会在我们的电脑桌面及文件夹留下勒索信件!:建议向专业的数据恢复公司寻求帮助,这些公司通常具有专业的数据恢复技术,可以帮助用户尽快恢复丢失的数据或者确保正确的操作,将数据的损失降到最低。
SQL SERVER数据库勒索病毒 SQL数据库病毒恢复数据
weixin_30295091的博客
01-12 986
SQL SERVER数据库勒索病毒 SQL数据库病毒恢复数据 最近客户勒索病毒的很多,大家可以下载我们的恢复工具来预览重要的数据。 最新勒索病毒解密及恢复服务 扩展名一般不限制。最近常见的有.java.CHAK.RESERVE.{techosup...
勒索病毒数据库恢复 勒索病毒解密恢复 勒索病毒解密恢复数据
weixin_30542079的博客
01-09 382
勒索病毒数据库恢复 勒索病毒解密恢复 勒索病毒解密恢复数据 Wannacry 永恒之蓝 想哭病毒 全球性爆发,一旦文件被加密 基本无法解密,据研究 黑客会对原始文件进行全加密后 删除原始文件.还有就是会把数据库进行打包加密. 对于这种病毒数据恢复方法 可以r-st...
勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享
前途不远,仍需努力
10-17 3017
记录一次算是成功的勒索病毒lockbit2.0的恢复记录,网上的参考文献太少,给后来人指一条道路吧。
数据库勒索病毒怎么办?(数据库恢复的终极大招DUL)
xiaofan23z的专栏
04-09 1733
数据库如何预防勒索病毒 接上文,如果数据库勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!DUL是Data Unloader的缩写,Or
xp_crypt (sqlserver 数据库加密程序)
03-14
SQL Server沒有辦法加密欄位裡的資料, 換言之, 只要有人取得存取資料庫或其檔案的權限, 就能夠很容易地檢視、複製、甚至修改您存在資料庫裡的機密資料, 例如信用卡資料、薪水獎金的資料。許多資訊安全規範, 例如CISP, HIPPA,GBLA, 都要求敏感性資料, 例如信用卡號、病歷、密碼等都必需以堅固而安全的加密方式保護起來。XP_Crypt 提供最佳成本效益的方式幫助您將資料庫裡的敏感性資料加密起來,以符合法規的要求 XP_Crypt提供完整的加密演算法 Symmetric encryption algorithms: AES (USA standard), Triple DES, DESX, RC4 Asymmetric: RSA Digital signatures: DSA (USA standard) , RSA Hashes SHA-1, MD5 and DES. x.509 certificates are supported
sqlserver 数据库加密工具xp_crypt
02-23
sqlserver数据库加密工具,可以加密表,视图,存储过程,整个数据库等。是开发人员的必备工具!
windows系统毒,sql server数据库文件恢复抢救和OA程序文件恢复.
wnagshuihua的博客
12-19 1510
背景: 客户是地产行业客户,腾讯云服务器主要部署致远OA和sql server数据库,由于内部IT薄弱,没有做好安全防护,导致服务器被病毒入侵。 问题回顾: 1:服务器遭受勒索病毒攻击,导致服务器OA文件和数据库文件被锁,OA网站无法打开,数据库表无法读取。 2:业务瘫痪期间,企业无法展开工作,对企业造成无法想象后果 数据库文件一旦无法找回,整个部门甚至公司将因此停摆 3:同时D盘被勒索病毒加密,被加密文件无法使用 4:客户没有做任何备份措施,听到这个情况时,对此次事件不容乐观。 5:此情况下
mysql 勒索病毒怎么恢复_敲诈者病毒解密恢复 勒索病毒数据库恢复 数据库病毒解密恢复...
weixin_28362173的博客
02-27 545
勒索病毒持续三年了,什么时候是个头呢? 都是数字货币惹的祸;最近常见的病毒扩展名.java.CHAK.RESERVE.{techosupport@protonmail.com}XX.xx.GOTHAM.aleta.arrow.TRUE.rapid.FREEMAN.WannaCry.arena.sexy.UIWIX.cobra.block.bunny.whbs.ALCO.yoyo.BIG2等等如果某...
修复好一个勒索病毒数据库
10-20 721
数据库勒索病毒,怎么办?
weixin_34249367的博客
05-21 1365
一、SQL Server SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的,于1988 年推出了第一个OS/2 版本。在Windows NT 推出后,Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了,Microsoft 将SQL Server 移植到Windows NT系统上,专注于...
arrow勒索病毒数据库恢复 SQL数据库勒索病毒数据库恢复 扩展名.java .arrow数据库恢复...
weixin_30407613的博客
05-24 150
arrow勒索病毒数据库恢复 SQL数据库勒索病毒数据库恢复 扩展名.java .arrow数据库恢复 数据类型 SQL2008R2数据库 数据容量 15 GB 故障类型 勒索病毒,.扩展名被改成arrow 修复结果 客户发来加密数据库...
使用达思sql数据库修复软件修复勒索病毒加密数据库教程
08-14
要使用达思SQL数据库修复软件修复勒索病毒加密数据库,可以按照下面的步骤进行操作: 1. 首先,确保已经安装了达思SQL数据库修复软件,并且软件是最新版本。 2. 打开达思SQL数据库修复软件,选择“修复数据库”选项。这将打开修复向导,引导您完成修复过程。 3. 在修复向导,选择要修复的数据库文件。这通常是被勒索病毒加密数据库文件,通常以特定的文件扩展名结尾,如 ".db" 或 ".sql"。 4. 在下一步,选择修复选项。根据您的具体需求,选择合适的修复选项。通常可以选择完全修复、部分修复或者仅解密数据库。 5. 根据修复选项,软件将开始修复过程。这可能需要一些时间,具体取决于数据库的大小和复杂性。 6. 修复完成后,软件将显示修复结果。检查修复结果以确保数据库已成功修复并可以正常使用。 7. 如果修复结果满意,您可以将修复后的数据库文件保存在指定的位置。 8. 在保存修复后的数据库文件之后,建议立即进行数据库的备份。这将有助于避免未来的数据丢失和数据库故障。 请注意,使用达思SQL数据库修复软件修复勒索病毒加密数据库并不保证100%的成功。在进行修复之前,请确保已经制作了数据备份,并准备好其他应对紧急情况的方案。此外,建议将安全措施应变软件安装在系统,以降低再次受到勒索病毒攻击的风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

duanbeibei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值