服务器/电脑被勒索病毒加密后缀名变为[********].Seoul的解决方案思路
近期有客户资讯说服务器被勒索病毒共计,工作需要的文件后缀名全部变更为.Seoul,主要的sql数据库文件无法正常使用。
经我司技术人员分析,该病毒的加密能力较弱,为头尾加密,保留文件中的数据。
详细如下:
使用winhex可以看到该数据库文件头部已经没有SQL数据库文件应有标识
我们向下分析,在256号扇区找到数据库结构,如下所示:
继续向下分析,直到结尾处发现一段神秘数字,怀疑可能是加密信息。
经过上面对SQL数据库的分析,我们可以得出结论,该数据库只被加密了文件头部256扇区,尾部疑似也占用了部分扇区。
由此我们可以推断该文件被加密的扇区占比为1%不到
通过对SQL数据库文件的分析,前256扇区主要是一些数据库结构信息。一般这种情况下有2种恢复方案。
方案1:使用数据库修复工具对该文件直接进行修复,按照经验来判断,这样一般可以恢复90%以上的数据库内容,但只能SQL SERVER附加,调用该数据库的相关软件大概率无法使用。
方案2:可以找该数据库之前很老的备份文件,进行扇区移植,即复制前256扇区到该数据库,替换掉被病毒加密的256扇区,这样再通过数据库修复工具进行修复,可以恢复大约99%的数据库内容,大部分调用该数据库的软件也能够使用,但是预估在使用过程中会出现各种错误。那是因为有部分视图、函数、或者是存储过程在通过数据库修复工具进行修复的时候可能会出现丢失。对于这种情况小编这里提供一个另外的方案思路
方案3:使用方案2进行扇区替换后,因为替换的毕竟是老的数据库的,链结构肯定不足以支撑访问所有数据,可以针对性的先使用winhex对未加密区域的数据进行分析,将未加密区域的数据流和存储过程、函数、视图的链结构提前记录,写入新的256扇区后,在新写入的扇区里面,解析出相似的链结构,然后修改链结构,或者是把指向改为我们分析的地址。这样再使用任意的数据库修复工具,即可完整的恢复出该数据库的结构,最大程度上还原加密前的存储过程、函数和视图,使调用该数据库的相关软件能够正常使用
772
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
