數據庫中了勒索病毒，怎麼辦？

1、SQL Server

SQL Server 是一個關係數據庫管理系統。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同開發的，於1988 年推出了第一個OS/2 版本。在Windows NT 推出後，Microsoft與Sybase 在SQL Server 的開發上就分道揚鑣了，Microsoft 將SQL Server 移植到Windows NT系統上，專一於開發推廣SQL Server 的Windows NT 版本。Sybase 則較專一於SQL Server在UNIX 操做系統上的應用。

2、 故障信息

數據庫類型：SQL Server

版本類型：2008R2

故障情況：用戶有1個數據庫被加密，且目前沒法使用。

表現方式：數據庫MDF、LDF、log日誌文件名字已被更改，以下圖所示：

數據庫備份被加密，文件名字作了修改，具體狀況以下圖所示：

3、 備份數據庫

爲防止數據恢復過程當中因爲誤操做對原始數據庫形成二次破壞,首先要爲每一個庫作備份。此後全部恢復操做都在備份數據庫上進行, 杜絕對原始數據庫形成破壞。

4、 故障分析及恢復

一、使用專業恢復軟件打開中病毒的SQL server數據庫，能夠看到數據庫的頭部已被破壞。

二、sqlserver 數據庫頁大小8K，按8K大小切塊，向下查找，最終分析得出，每128K進行一次加密。

三、 打開數據庫備份，發現也是每128K進行一次加密。

向下搜索數據庫頁起始標誌01 0F，發現此處沒有被加密。通過分析，數據庫與數據庫備份加密方式同樣，每128K進行一次加密，因爲數據庫備份頭部記錄備份信息，數據庫頁起始向下偏移。所以數據庫中加密的頁與數據庫備份中加密的頁正好錯開。

四、 修復加密數據庫

結合數據庫備份對數據庫中加密的頁進行修復，經過數據庫管理工具附加修改好的數據庫，並進行查詢驗證。


5、數據恢復結果及驗收狀況

經用戶驗收查證，數據庫都可成功附加，顯示數據無誤，至此數據恢復工做結束。