伺服器SQL server資料庫被加密恢復方案

一、伺服器資料庫基本情況介紹

客戶一臺伺服器上的資料庫被病毒加密無法使用，資料庫是SQL server資料庫2008R2，伺服器上有多個資料庫，其中2個資料庫及備份檔案被加密，檔名發生變化，資料庫無法使用，需要對伺服器上的資料庫進行資料恢復。經過初步溝通後安排工程師前往客戶現場進行資料恢復。

二、備份客戶伺服器內的所有資料

工程師前往客戶現場後對資料庫進行了初步檢測後，為避免資料恢復操作過程中對伺服器原始資料造成破壞，首先對客戶的伺服器進行了安全的資料備份，將客戶伺服器上的所有資料備份到儲存池中。接下來的資料分析、資料恢復操作將全部在儲存池中進行，不會對客戶原始資料造成任何破壞，即使無法恢復客戶資料也不會導致客戶的原始資料環境發生變化。在保障原始伺服器環境的條件下進行資料恢復。   

三、資料庫加密分析及資料恢復方案

藉助一款專用的資料恢復軟體winhex開啟客戶的SQLserver資料庫，檢視資料庫底層資料是否被破壞，經過檢視發現資料庫底層資料中的頭部資訊被破壞。

2、根據資料庫底層資料分部規律分析查詢病毒的加密方式，經過分析發現該資料庫頁為8K，將底層資料按8K切塊並向下查詢分析加密方式，經過分析發現病毒採用的是每隔128k進行一次大小為125位元組的加密。

3、繼續對資料庫備份檔案底層資料進行分析，發現加密規律通資料庫部分的加密規律完全相同。

 

SqlServer資料庫起始頁標誌為01 0F，資料恢復工程師在底層檢索資料庫頁的起始標誌，經過檢索發現資料庫備份的頭部記錄並沒有被破壞，原來資料庫備份的頭部記錄了資料庫的備份資訊，資料庫頁的起始位置發生了向下偏移，這就導致了資料庫中的加密位置和資料庫備份資料中的加密位置剛好錯開，因此資料庫備份中的起始標誌未被破壞。

4、由於資料庫加密位置與資料庫的備份檔案加密位置剛好錯開，因此可以結合資料庫備份檔案對資料庫中的加密頁進行資料修復，最後資料恢復工程師通過資料庫管理工具將修復好的資料庫進行附加檢查，通過檢查驗證，資料庫可以正常使用。最後經過客戶工程司親自對恢復的資料進行驗證，確認資料庫內的所有資料完整，本次資料恢復圓滿成功。