从勒索病毒加密的SQLServer数据库中恢复数据

原创 已于 2024-04-03 10:21:19 修改 · 6k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sqlserver #勒索病毒 #LockBit #数据恢复

于 2021-03-31 12:17:47 首次发布
本文讲述了SQLServer数据库被LockBit病毒加密的困境,解析了病毒行为,发现仅头部加密,提出针对性恢复方法,详细描述了数据恢复步骤,并给出防护建议。

1. 问题描述

用户的SQLServer数据库遭到"LockBit"勒索病毒攻击,数据库宕机无法访问。

SQLServer数据库数据文件被加密且扩展了文件后缀名:“.lockbit”。
如:
数据文件原有文件名为:“testdb1.mdf”
加密后的文件名则被修改为:“testdb1.mdf.lockbit

同时在被加密的文件目录下留了一封勒索信:“Restore-My-Files.txt”
在这里插入图片描述

2. "LockBit"病毒加密分析

知道了文件名被篡改,第一想法是把文件名改回原来的名字,看看是否能拉起数据库,但是尝试失败(想想也是,病毒没那么傻~~)。

那么就只有深入研究下被加密的数据文件,看看到底病毒做了哪些手脚。
通过十六进制编辑器工具打开被加密的文件, 发现文件确实被加密了。
左图是被加密的文件,右图是正常的数据文件。加密后的文件显示为乱码形式。
在这里插入图片描述
看到这一幕,有点绝望,在不知道加密算法和密钥的情况下,解密的可能性为0…

好吧,再往下看看,果然有惊喜!
勒索病毒只加密了文件头部256KB字节的内容,之后的数据没有被加密!
在这里插入图片描述

为什么只加密文件头的一部分数据?
想想是因为勒索病毒采用的加密算法加密强度太高了,加密时所需时间很长。而对于动不动就上百GB的数据库文件而言,加密时间就更长了。

对于对称加密算法而言,加密时间长,解密时间也长,黑客也不想给自己找麻烦。


3.数据恢复思路

SQLServe数据文件MDF格式,8KB是一个页面。
病毒加密了前256KB数据,也就是 32 个页面。
而对于SQLServe来说,前32个页面基本是数据库创建时就填充的数据库系统信息,很少有用户表数据存储于前32页面中。

那么数据恢复的方法也就明确了:跳过前32个页面,扫描32页之后的有效数据,将其恢复到新的数据库中!


4.恢复实战

根据SQLServer MDF 数据文件的组织格式,层层剖析,恢复页面中的有效数据。

具体实施起来挺复杂,不光要考虑普通表数据,还要考虑LOB大对象数据、视图/函数/存储过程 等对象的恢复,总之力求完美,SQLServer有的对象,都要考虑进去。

最终将加密的数据库成功恢复出来,数据验证使用正常!
在这里插入图片描述

5.友情提示

1)做好局域网防护
局域网内的主机密码不要使用相同的密码,一台攻陷,全网瘫痪!同时关闭不必要的网络端口。

2) 此方法只能恢复被加密的SQLServer数据库数据文件,其它类型的文件,如 word、图片等无法恢复出来。

勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享
前途不远,仍需努力
10-17 4390
记录一次算是成功的勒索病毒lockbit2.0的恢复记录,网上的参考文献太少,给后来人指一条道路吧。
SQLserver勒索病毒或严重损坏后的恢复数据方法
jun_0214的专栏
11-08 3089
Sqlserver数据库中毒或损坏后后MDF文件很多页面包括系统页面损坏, 导致无法附加到SQLserver数据库服务上。 下面介绍如何利用鱼肠剑SQL数据恢复恢复数据。此方法能恢复出未被损坏部分的数据。 1: 首先你除了损坏的数据库MDF文件(坏的MDF)外。 你需要有一个完好的以前备份的MDF或初始安装库(如果实在没有则需要建立一个空数据库然后在这个空数据库里初始化需要恢复的表结构),这个备份或初始MDF我们称为(好的MDF). 2:下载工具鱼肠剑SQL数据恢复。解压并打开 sqlrecove
sqlserver 病毒恢复工工具
05-07
sqlserver 病毒恢复工工具,勒索病毒,mdf损坏等 可恢复脚本数据
SQL SERVER数据库勒索病毒 SQL数据库中病毒恢复数据
weixin_30295091的博客
01-12 1057
SQL SERVER数据库勒索病毒 SQL数据库中病毒恢复数据 最近客户中勒索病毒的很多,大家可以下载我们的恢复工具来预览重要的数据。 最新勒索病毒解密及恢复服务 扩展名一般不限制。最近常见的有.java.CHAK.RESERVE.{techosup...
勒索病毒数据库恢复 勒索病毒解密恢复勒索病毒解密恢复数据
weixin_30542079的博客
01-09 454
勒索病毒数据库恢复 勒索病毒解密恢复勒索病毒解密恢复数据 Wannacry 永恒之蓝 想哭病毒 全球性爆发,一旦文件被加密 基本无法解密,据研究 黑客会对原始文件进行全加密后 删除原始文件.还有就是会把数据库进行打包加密. 对于这种病毒数据恢复方法 可以r-st...
数据库中了勒索病毒怎么办?(数据库恢复的终极大招DUL)
xiaofan23z的专栏
04-09 2635
数据库如何预防勒索病毒 接上文,如果数据库中了勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统中的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!DUL是Data Unloader的缩写,Or
精选资源
非常好用的SQL数据勒索病毒的修复工具
07-26
数据库勒索病毒可以用这个把数据修复到能打开提取数据
达思SQL数据库修复软件1.7(支持碎片重组、支持勒索病毒加密的sql数据库修复软件)
weixin_42442146的博客
06-12 1767
达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复) 达思SQL数据库修复软件 D-Recovery for MS SQL Server 界面 达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复)检测数据库功能一、达思SQL数据库修复软件(支持碎片重组,支持勒索病毒加密的修复)综述D-Recovery for MS SQL Server达思SQL数据库修复软件是由达思科技自...
勒索软件攻击中恢复 sql server 数据库 mdf文件
Lixora's DB Home
10-21 607
最近一个朋友的sql server 数据库中了勒索加密病毒,找到我帮忙,花了点时间帮他找回了99%的数据
数据库中了勒索病毒,怎么办?
weixin_34249367的博客
05-21 1481
一、SQL Server SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的,于1988 年推出了第一个OS/2 版本。在Windows NT 推出后,Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了,Microsoft 将SQL Server 移植到Windows NT系统上,专注于...
【亲测免费】 非常好用的SQL数据勒索病毒的修复工具
最新发布
gitblog_09808的博客
10-12 521
非常好用的SQL数据勒索病毒的修复工具 去发现同类优质开源项目:https://gitcode.com/ 简介 本仓库提供了一个专门用于修复SQL数据库勒索病毒的工具。该工具能够帮助用户将受到勒索病毒影响的数据库文件修复到可以正常打开并提取数据的状态。 功能特点 高效修复:能够快速识别并修复受到勒索病毒影响的数据库文件。 数据恢复:修复后的数据库文件可以正常打开,用户可以从中提取所需的数据。...
mysql 勒索病毒怎么恢复_敲诈者病毒解密恢复 勒索病毒数据库恢复 数据库中病毒解密恢复...
weixin_28362173的博客
02-27 620
勒索病毒持续三年了,什么时候是个头呢? 都是数字货币惹的祸;最近常见的病毒扩展名.java.CHAK.RESERVE.{techosupport@protonmail.com}XX.xx.GOTHAM.aleta.arrow.TRUE.rapid.FREEMAN.WannaCry.arena.sexy.UIWIX.cobra.block.bunny.whbs.ALCO.yoyo.BIG2等等如果某...
记一次勒索病毒下的Oracle数据恢复
qq_42307172的博客
09-14 1372
【先声明,未经本人允许禁止转载抄袭】 分享一次oracle数据库在被勒索病毒加密的情况下是如何最大程度挽救数据的。 春节后,开工前,我们例行检查各项目的系统运行情况时,在某项目的服务器上发现了这样一个文本。 经检查,两台服务器全部遭受到勒索病毒的攻击,应用程序、数据库文件及备份数据均被恶意加密。通常,在检查数据库故障的时候,我都会习惯先登陆SQL*PLUS来查看数据库的运行状态,然后再查看告警日志。当调用SQLPLUS命令的时候,发现由于大批量的恶意加密,操作系统的常规应用程序已经无法被调用.
修复好一个中了勒索病毒数据库
10-20 791
btc勒索病毒文件恢复数据库恢复方案
weixin_33805992的博客
01-21 2172
BTC勒索软件病毒是一种网络威胁,可锁定用户数据,这种病毒最初是在2016年底发现的。它也被称为BTCLocker勒索软件,来自同一家族的旧Radamant勒索软件。然而,由于名称与Dharma勒索软件所使用的名称相匹配,因此在文件扩展名中具有各种类似版本的BTC,因此存在其他关联。 在这种情况下,加密病毒附加.id-[victim's_ID].[btc@fros.cc].btc文件扩展名。上网...
SQLServer数据库中了勒索病毒,MDF文件扩展名被篡改了。
热门推荐
jogewang的专栏
07-29 1万+
如果您的服务器中了勒索病毒,扩展名被篡改了。 SQLServer数据库中了勒索病毒,MDF文件扩展名被篡改了。 从以下几点着手,电脑不容易中毒: 1.用新版本的操作系统(PC安装win10,Server安装Win2019) 2.打全所有补丁(用360补丁工具) 3.设电脑为强密码 4.关掉所有不用的端口 最安全的处理方式:【异地备份重要数据,一天一次。】 SQL数据库可以做修复恢复,QQ...
arrow勒索病毒数据库恢复 SQL数据库勒索病毒数据库恢复 扩展名.java .arrow数据库恢复...
weixin_30407613的博客
05-24 193
arrow勒索病毒数据库恢复 SQL数据库勒索病毒数据库恢复 扩展名.java .arrow数据库恢复 数据类型 SQL2008R2数据库 数据容量 15 GB 故障类型 中了勒索病毒,.扩展名被改成arrow 修复结果 客户发来加密数据库...
.online24files@airmail.cc勒索病毒数据恢复(Scarab系列)
weixin_34162401的博客
12-03 2410
online24files@airmail.cc后缀病毒(Scarab勒索病毒)是一个加密你的数据并要求金钱作为赎金来恢复它的人。文件将收到.online24files@airmail.cc。该.online24files @ airmail.cc病毒(Scarab勒索病毒)将离开勒索指令作为桌面墙纸图像。名称.online24files @ airmail.cc病毒类型...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

duanbeibei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值