【网络勒索服务器数据恢复】数据中心服务器SQL Server数据库中勒索病毒文件被加密数据恢复案例
一:客户信息四川省某旅游集团二:案例描述客户向我们反馈服务器于昨晚遭到勒索病毒攻击,SQL Server数据库文件名被修改带有“.Seoul”后缀,文件被加密,文件底层被修改,客户询问是否可以修复,我们建议客户立即断网,将数据库文件异地拷贝,并进行全盘备份,进行数据库文件修复。三:解决方案1.案例评估经我司技术工程师分析,该病毒的加密能力较弱,为头尾加密,保留文件中的数据,使用工具可以看到该数据库文件头部已经没有SQL Server数据库文件应有标识,详细如下: 我们向下分析,在256号扇区找到数据库文件结构,如下所示: 继续向下分析,直到结尾处发现一段神秘数字,怀疑可能是加密信息: 经过上面对SQL Server数据库被加密文件的分析,我们可以得出结论,该SQL Server数据库只被加密了文件头部256扇区,尾部疑似也占用...
