从勒索病毒加密的SQLServer数据库中恢复数据

原创 已于 2024-04-03 10:21:19 修改 · 5.6k 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sqlserver #勒索病毒 #LockBit #数据恢复

于 2021-03-31 12:17:47 首次发布
本文讲述了SQLServer数据库被LockBit病毒加密的困境,解析了病毒行为,发现仅头部加密,提出针对性恢复方法,详细描述了数据恢复步骤,并给出防护建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 问题描述

用户的SQLServer数据库遭到"LockBit"勒索病毒攻击,数据库宕机无法访问。

SQLServer数据库数据文件被加密且扩展了文件后缀名:“.lockbit”。
如:
数据文件原有文件名为:“testdb1.mdf”
加密后的文件名则被修改为:“testdb1.mdf.lockbit

同时在被加密的文件目录下留了一封勒索信:“Restore-My-Files.txt”
在这里插入图片描述

2. "LockBit"病毒加密分析

知道了文件名被篡改,第一想法是把文件名改回原来的名字,看看是否能拉起数据库,但是尝试失败(想想也是,病毒没那么傻~~)。

那么就只有深入研究下被加密的数据文件,看看到底病毒做了哪些手脚。
通过十六进制编辑器工具打开被加密的文件, 发现文件确实被加密了。
左图是被加密的文件,右图是正常的数据文件。加密后的文件显示为乱码形式。
在这里插入图片描述
看到这一幕,有点绝望,在不知道加密算法和密钥的情况下,解密的可能性为0…

好吧,再往下看看,果然有惊喜!
勒索病毒只加密了文件头部256KB字节的内容,之后的数据没有被加密!
在这里插入图片描述

为什么只加密文件头的一部分数据?
想想是因为勒索病毒采用的加密算法加密强度太高了,加密时所需时间很长。而对于动不动就上百GB的数据库文件而言,加密时间就更长了。

对于对称加密算法而言,加密时间长,解密时间也长,黑客也不想给自己找麻烦。


3.数据恢复思路

SQLServe数据文件MDF格式,8KB是一个页面。
病毒加密了前256KB数据,也就是 32 个页面。
而对于SQLServe来说,前32个页面基本是数据库创建时就填充的数据库系统信息,很少有用户表数据存储于前32页面中。

那么数据恢复的方法也就明确了:跳过前32个页面,扫描32页之后的有效数据,将其恢复到新的数据库中!


4.恢复实战

根据SQLServer MDF 数据文件的组织格式,层层剖析,恢复页面中的有效数据。

具体实施起来挺复杂,不光要考虑普通表数据,还要考虑LOB大对象数据、视图/函数/存储过程 等对象的恢复,总之力求完美,SQLServer有的对象,都要考虑进去。

最终将加密的数据库成功恢复出来,数据验证使用正常!
在这里插入图片描述

5.友情提示

1)做好局域网防护
局域网内的主机密码不要使用相同的密码,一台攻陷,全网瘫痪!同时关闭不必要的网络端口。

2) 此方法只能恢复被加密的SQLServer数据库数据文件,其它类型的文件,如 word、图片等无法恢复出来。

数据库中了勒索病毒怎么办?(数据库恢复的终极大招DUL)
xiaofan23z的专栏
04-09 2287
数据库如何预防勒索病毒 接上文,如果数据库中了勒索病毒,并且备份也同样被攻陷,那该怎么办?以最为常见的Lockbit3.0为例,LockBit采用先进的加密算法,通常是对称密钥加密和非对称密钥加密的组合。这使得被感染的系统中的文件无法被正常访问,想破解几乎是不可能的。只能支付赎金来获取解密工具来解密!如果你的数据库勒索病毒加密,又不想缴纳昂贵的赎金?如何最大限度的恢复数据呢?这里就会使用到oracle数据恢复的最终大招了DUL(Data Unloader)!DUL是Data Unloader的缩写,Or
SQLserver勒索病毒或严重损坏后的恢复数据方法
jun_0214的专栏
11-08 2900
Sqlserver数据库中毒或损坏后后MDF文件很多页面包括系统页面损坏, 导致无法附加到SQLserver数据库服务上。 下面介绍如何利用鱼肠剑SQL数据恢复恢复数据。此方法能恢复出未被损坏部分的数据。 1: 首先你除了损坏的数据库MDF文件(坏的MDF)外。 你需要有一个完好的以前备份的MDF或初始安装库(如果实在没有则需要建立一个空数据库然后在这个空数据库里初始化需要恢复的表结构),这个备份或初始MDF我们称为(好的MDF). 2:下载工具鱼肠剑SQL数据恢复。解压并打开 sqlrecove
SQL SERVER数据库勒索病毒 SQL数据库中病毒恢复数据
weixin_30295091的博客
01-12 1035
SQL SERVER数据库勒索病毒 SQL数据库中病毒恢复数据 最近客户中勒索病毒的很多,大家可以下载我们的恢复工具来预览重要的数据。 最新勒索病毒解密及恢复服务 扩展名一般不限制。最近常见的有.java.CHAK.RESERVE.{techosup...
勒索病毒检测工具 - SQL数据库加密损坏比列检测工具
最新发布
gitblog_06713的博客
05-05 368
勒索病毒检测工具 - SQL数据库加密损坏比列检测工具 去发现同类优质开源项目:https://gitcode.com/ 本仓库提供的资源文件是一份专为检测SQL数据库遭受勒索病毒加密后的损坏比例而设计的工具。以下是该工具的详细介绍: 工具描述 随着网络安全威胁的日益严峻,勒索病毒的攻击频率和影响范围不断扩展。为了帮助客户更加清晰地了解SQL数据库在被勒索病毒加密后的损坏程度,我们研发了这款检测工...
勒索病毒数据库恢复 勒索病毒解密恢复勒索病毒解密恢复数据
weixin_30542079的博客
01-09 430
勒索病毒数据库恢复 勒索病毒解密恢复勒索病毒解密恢复数据 Wannacry 永恒之蓝 想哭病毒 全球性爆发,一旦文件被加密 基本无法解密,据研究 黑客会对原始文件进行全加密后 删除原始文件.还有就是会把数据库进行打包加密. 对于这种病毒数据恢复方法 可以r-st...
勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享
前途不远,仍需努力
10-17 3745
记录一次算是成功的勒索病毒lockbit2.0的恢复记录,网上的参考文献太少,给后来人指一条道路吧。
非常好用的SQL数据勒索病毒的修复工具
gitblog_09808的博客
10-12 469
非常好用的SQL数据勒索病毒的修复工具 去发现同类优质开源项目:https://gitcode.com/ 简介 本仓库提供了一个专门用于修复SQL数据库勒索病毒的工具。该工具能够帮助用户将受到勒索病毒影响的数据库文件修复到可以正常打开并提取数据的状态。 功能特点 高效修复:能够快速识别并修复受到勒索病毒影响的数据库文件。 数据恢复:修复后的数据库文件可以正常打开,用户可以从中提取所需的数据。...
windows系统中毒,sql server数据库文件恢复抢救和OA程序文件恢复.
wnagshuihua的博客
12-19 1608
背景: 客户是地产行业客户,腾讯云服务器主要部署致远OA和sql server数据库,由于内部IT薄弱,没有做好安全防护,导致服务器被病毒入侵。 问题回顾: 1:服务器遭受勒索病毒攻击,导致服务器OA文件和数据库文件被锁,OA网站无法打开,数据库表无法读取。 2:业务瘫痪期间,企业无法展开工作,对企业造成无法想象后果 数据库文件一旦无法找回,整个部门甚至公司将因此停摆 3:同时D盘被勒索病毒加密,被加密文件无法使用 4:客户没有做任何备份措施,听到这个情况时,对此次事件不容乐观。 5:此情况下
sqlserver 病毒恢复工工具
05-07
总的来说,"sqlserver 病毒恢复工具"是应对SQL Server数据库受到病毒影响时的重要资源,它提供了从病毒攻击中恢复数据恢复数据库结构的全面解决方案。对于任何依赖SQL Server的企业来说,了解和掌握这类工具的使用...
xp_crypt (sqlserver 数据库加密程序)
03-14
SQL Server沒有辦法加密欄位裡的資料, 換言之, 只要有人取得存取資料庫或其檔案的權限, 就能夠很容易地檢視、複製、甚至修改您存在資料庫裡的機密資料, 例如信用卡資料、薪水獎金的資料。許多資訊安全規範, 例如CISP, HIPPA,GBLA, 都要求敏感性資料, 例如信用卡號、病歷、密碼等都必需以堅固而安全的加密方式保護起來。XP_Crypt 提供最佳成本效益的方式幫助您將資料庫裡的敏感性資料加密起來,以符合法規的要求 XP_Crypt提供完整的加密演算法 Symmetric encryption algorithms: AES (USA standard), Triple DES, DESX, RC4 Asymmetric: RSA Digital signatures: DSA (USA standard) , RSA Hashes SHA-1, MD5 and DES. x.509 certificates are supported
mysql 勒索病毒怎么恢复_敲诈者病毒解密恢复 勒索病毒数据库恢复 数据库中病毒解密恢复...
weixin_28362173的博客
02-27 591
勒索病毒持续三年了,什么时候是个头呢? 都是数字货币惹的祸;最近常见的病毒扩展名.java.CHAK.RESERVE.{[email protected]}XX.xx.GOTHAM.aleta.arrow.TRUE.rapid.FREEMAN.WannaCry.arena.sexy.UIWIX.cobra.block.bunny.whbs.ALCO.yoyo.BIG2等等如果某...
修复好一个中了勒索病毒数据库
10-20 768
btc勒索病毒文件恢复数据库恢复方案
weixin_33805992的博客
01-21 2118
BTC勒索软件病毒是一种网络威胁,可锁定用户数据,这种病毒最初是在2016年底发现的。它也被称为BTCLocker勒索软件,来自同一家族的旧Radamant勒索软件。然而,由于名称与Dharma勒索软件所使用的名称相匹配,因此在文件扩展名中具有各种类似版本的BTC,因此存在其他关联。 在这种情况下,加密病毒附加.id-[victim's_ID].[[email protected]].btc文件扩展名。上网...
数据库中了勒索病毒,怎么办?
weixin_34249367的博客
05-21 1429
一、SQL Server SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的,于1988 年推出了第一个OS/2 版本。在Windows NT 推出后,Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了,Microsoft 将SQL Server 移植到Windows NT系统上,专注于...
arrow勒索病毒数据库恢复 SQL数据库勒索病毒数据库恢复 扩展名.java .arrow数据库恢复...
weixin_30407613的博客
05-24 180
arrow勒索病毒数据库恢复 SQL数据库勒索病毒数据库恢复 扩展名.java .arrow数据库恢复 数据类型 SQL2008R2数据库 数据容量 15 GB 故障类型 中了勒索病毒,.扩展名被改成arrow 修复结果 客户发来加密数据库...
勒索软件攻击中恢复 sql server 数据库 mdf文件
Lixora's DB Home
10-21 555
最近一个朋友的sql server 数据库中了勒索加密病毒,找到我帮忙,花了点时间帮他找回了99%的数据
[email protected]勒索病毒数据恢复(Scarab系列)
weixin_34162401的博客
12-03 2379
[email protected]后缀病毒(Scarab勒索病毒)是一个加密你的数据并要求金钱作为赎金来恢复它的人。文件将收到[email protected]。该.online24files @ airmail.cc病毒(Scarab勒索病毒)将离开勒索指令作为桌面墙纸图像。名称.online24files @ airmail.cc病毒类型...
sql server数据库怎么恢复数据
12-26
### 如何在 SQL Server 数据库恢复数据 #### 方法一:通过备份还原数据库 对于常规情况下的数据丢失或损坏,最可靠的方式是从最近的备份中恢复整个数据库。这需要事先已经配置好定期备份策略。 ```sql RESTORE DATABASE YourDatabaseName FROM DISK = 'C:\Backup\YourDatabase.bak' WITH REPLACE; ``` 此命令会将指定路径中的备份文件用于重建目标数据库结构及其所有对象和记录[^2]。 #### 方法二:处理被勒索病毒感染后的特殊情形 当面对由恶意软件导致的数据加密攻击时,如果之前没有创建过任何有效的备份,则可以尝试特定的技术来解密受影响的MDF/LDF文件。然而需要注意的是这种方法仅适用于SQL Server自身的数据文件,并不支持其他格式如文档或图像等外部资源[^1]。 #### 方法三:利用事务日志进行部分回滚 假设系统处于完全恢复模式下工作,在某些情况下还可以借助于详细的事务日志来进行更精细级别的操作——即只撤销那些发生在某个时间点之后的操作而不影响之前的正常状态。不过这项功能依赖于恰当设置的日志保留政策以及足够的存储空间保存历史版本信息。 ```sql USE master; GO ALTER DATABASE AdventureWorks2019 SET SINGLE_USER WITH ROLLBACK IMMEDIATE; GO RESTORE LOG AdventureWorks2019 FROM Disk='D:\AdventureWorksLog.trn' WITH STOPAT = N'2023-07-18T14:35:00'; GO ALTER DATABASE AdventureWorks2019 SET MULTI_USER; GO ``` 上述脚本展示了如何停止应用日志条目直到给定的时间戳位置,从而实现精确到秒级的数据保护措施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

duanbeibei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值