資料庫資料恢復—SQLserver資料庫中勒索病毒被加密怎麼恢復資料？

SQLserver資料庫資料恢復環境&故障：

一臺伺服器上的SQLserver資料庫被勒索病毒加密，無法正常使用。該伺服器上部署有多個SQLserver資料庫，其中有2個資料庫及備份檔案被加密，檔名被篡改，資料庫無法使用。

SQL server資料庫資料恢復過程：

1、將故障伺服器上所有磁碟編號後取出，經過硬體工程師檢測沒有發現有硬碟存在物理故障。將所有磁碟以只讀方式進行扇區級的全盤映象備份，備份完成後將所有磁碟按照編號還原到原伺服器中，後續的資料分析和資料恢復操作都基於映象檔案進行，避免對原始磁碟資料造成二次破壞。

2、在映象檔案中使用工具開啟SQLserver資料庫，經過檢查發現SQLserver資料庫底層資料中的頭部資訊被破壞。

3、北亞企安資料恢復工程師根據SQLserver資料庫底層資料分佈規律分析病毒的加密方式。經過分析發現該SQLserver資料庫頁為8K，將底層資料按8K切塊並向下查詢分析加密方式。經過分析發現病毒採用加密方式是每隔128k進行一次大小為125位元組的加密。

4、繼續分析SQLserver資料庫備份檔案底層資料，發現備份檔案的加密規律和SQLserver資料庫的加密規律完全相同。

SqlServer資料庫起始頁標誌為01 0F，北亞企安資料恢復工程師在底層檢索SqlServer資料庫頁的起始標誌，經過檢索發現SqlServer資料庫備份的頭部記錄沒有被破壞，SqlServer資料庫備份的頭部記錄了SqlServer資料庫的備份資訊。由於SqlServer資料庫頁的起始位置發生了向下的偏移，

導致SqlServer資料庫中的加密位置和SqlServer資料庫備份資料中的加密位置剛好錯開，因此SqlServer資料庫備份中的起始標誌未被破壞。

5、由於SqlServer資料庫加密位置與SqlServer資料庫備份檔案加密位置剛好錯開，北亞企安資料恢復工程師結合SqlServer資料庫備份檔案來修復SqlServer資料庫中的加密頁。修復完成後透過SqlServer資料庫管理工具將修復好的SqlServer資料庫進行附加&檢查，經過檢查驗證，SqlServer資料庫可以正常使用。

交由使用者方工程師對恢復出來的SqlServer資料庫資料進行驗證，經過反覆的驗證確認SqlServer資料庫內的所有資料完整有效。本次資料恢復工作完成。