【北亞資料恢復】sqlserver資料庫被加密的資料恢復案例分享

故障：

2個SQL server資料庫被加密，無法使用。

資料庫MDF、LDF、log日誌檔名字被修改，如下圖：

資料庫備份被加密，檔名字被修改。管理員聯絡北亞資料恢復中心進行資料修復。

資料恢復過程：

1、備份資料庫。為防止資料恢復過程中對原始資料庫造成二次破壞，北亞資料恢復工程師為每個庫做了備份。所有恢復

資料的操作都在備份上進行, 避免了對原始資料造成損壞的可能。

2、使用北亞自研的資料恢復軟體開啟中病毒的SQL server資料庫，發現資料庫的頭部已被破壞。

3、經過檢查，北亞資料恢復工程師確定sqlserver資料庫頁大小8K，按8K大小切塊，向下查詢。最終分析得出，病毒對

資料庫檔案每128K進行一次加密，加密大小為128位元組。

4、北亞資料恢復工程師開啟資料庫備份，發現也是每128K進行一次加密，加密大小為128位元組。

5、向下搜尋資料庫頁起始標誌01 0F， 北亞資料恢復工程師發現此處沒有被加密。經過分析發現資料庫與資料庫備份

加密方式一樣，每128K進行一次加密，加密大小為128位元組。由於資料庫備份頭部記錄備份資訊，資料庫頁起始向下

偏移，因此資料庫中加密的頁與資料庫備份中加密的頁正好錯開。

6、修復加密資料庫。北亞資料恢復工程師結合資料庫備份對資料庫中加密的頁進行修復，通過資料庫管理工具附加修改

好的資料庫，並進行查詢驗證，後經管理員驗證，資料沒有問題。