一卡通综合管理平台中了后缀.[mr.hacker@tutan

39次阅读

没有评论

共计 4790 个字符，预计需要花费 12 分钟才能阅读完成。

自动写代码机器人，免费开通

2.33GB 的 sql 数据库被后缀.[mr.hacker@tutanota.com] 加密

最近几天有一个一卡通综合管理平台的数据库被勒索病毒加密了，因为整个服务器只有 sql 数据库是重要的，而且客户拒绝向勒索病毒的 *** 缴纳赎金，客户联系达思科技，希望达思科技能够帮助修复数据库。

由于中了勒索病毒的客户越来越多，达思科技数据库修复团队也希望用这个案例，把整个勒索病毒加密的 sql 数据库修复的过程展示出来，以便帮助更多的受到勒索病毒威胁的公司降低随时。

一、SQL 数据库修复前的准备工作

1.1 环境准备：

1、操作系统：推荐使用 windows server2016 或 2019

2、SQL 数据库环境：从 2000 开始安装（如何安装，网上有相应的教程），按照版本依次安装，可以安装 SQL Server2000、2005、2008、2008R2、2012、2014、2016、2017、2019 等；

3、硬盘：修 SQL 数据库对硬盘读写要求较高，推荐使用 m.2 接口（NVMe 协议）的 SSD 固态硬盘。

内存：建议 64GB 以上

1.2 判断 SQL Server 数据库的版本？

如果客户可以准确提供 SQL 数据库版本，就不需要自己检测版本了，如果客户不确定，我们也可以自己判断，用 winhex 打开 sql 数据库的 mdf 文件，跳转到第 144 扇区，看看 00012060X4 和 00012060X5 两个字节，看看 16BIT 对应的数值，就可以准确判断 SQL 数据库的版本，准确判断 SQL 版本来确定我们修复数据库时需要选择的输出环境的版本。

请看下图，本案例库数值是 661，说明版本是 SQL SERVER 2008R2

图一：判断数据库版本

不同 SQL 数据库版本对应的内部数据库版本数字如下：

SQL Server 数据库版本对应的内部数据库版本（数字）SQL Server 2017869SQL Server 2016852SQL Server 2014782SQL Server 2012706SQL Server2012 CTP1684SQL Server 2008 R2665SQL Server 2008661SQL Server 2005 with vardecimal enabled612SQL Server 2005611SQL Server 2000539SQL Server 7.0515

注意：如果前 512 扇区或 2048 或 4096 扇区被病毒破坏，就需要客户提供具体的数据库版本了。

1.3 检测 SQL 数据库文件，判断修复成功率

1、打开达思 SQL 数据库修复软件，点击“检查文件”，测试数据库损坏程度。

图二：检测数据库文件的损坏率

打开检测文件对话框后，点击“选择文件”选取相应目录后再点击“开始检测”。

图三：检测数据库文件的损坏率

扫描结束后，重点看一下错误页和空页的数量和比例，如果空页和坏页比例小于 5% 以下，则数据库修复成功率更高。

图四：检测数据库文件的损坏率

请看图，本案例的空页为 4720，占比为 1.5%，错误页（损坏的页）为 142，占比几乎为零，因此可以判断，数据库修复的成功率很高！

二、SQL 数据库修复过程

1、关于参考库（为什么需要参考库？）：

由于 SQL 数据库的损坏的不确定性，很有可能系统表结构、存储过程等重要参数受损的情况下，我们如果有同结构的好的老备份，达思软件可以把好的表结构提取出来，再把数据库填进去。

2、关于内置的表结构（达思软件打开数据库文件时对话框可选）：

达思软件内置了金蝶、用友、管家婆、浪潮、思迅等品牌的数十个版本的表结构，在没有同结构的参考库的情况下，可以选择内置表结构作为参考库，以提高数据库修复的准确率和成功率。

3、达思软件修复 SQL 数据库的过程

在达思软件界面中选择“打开文件”，选择需要修复的损坏的 sql 数据库以及和坏库同结构的好数据库作为参照库，开始修复损坏的 SQL 数据库。

图五：打开需要修复的数据库文件

图六：打开需要修复的数据库文件

选择好需要修复的损坏的 SQL 数据库文件后，再选择事先准备好的相同表结构的好库做参照。

图七：数据库修复的必要选项

如果客户可以提供老的备份作为参考，就优先选择老的备份作为参考。

如果客户无法提供老的备份作为参考，则可以选择达思软件内置的版本作为参考。

如果达思软件内置也没有，这可以在客户的数据库环境下新建同结构的空库作为参考。

因此，参考库的优先级为：同一个数据库的好的老备份同结构的的好库达思软件内置的相同版本相同环境下新建的表结构一样的空库

图八：自动解析数据库文件

选择完成后，点击“开始恢复”！

达思软件将会自动修复，根据不同大小以及损坏程度的不同，一般在几分钟内就可以完成展开。

SQL 数据库展开后，就可以在达思软件界面中查看数据库的修复结果和数据。如下图：左侧红框中显示的是所有表，右侧蓝框中是修复后的数据库文件的解析结果报告。

图九：数据库文件解析结果报告

从左侧栏中双击某个表，可以在右侧看到修复后该表里的数据，这个时候可以检查一下重要的表数据是否正确。

图十：核对表数据是否正确

打开 SQL Server2008R2, 登陆 SQL SERVER，附加好的参照库（提前复制出一份），然后，清空参考库里面的表数据作为接收库。

图十一：在 sql server 里打开参考数据库

图十二：附加好的参考库（清空表数据作为接收库）

图十三：附加好的参考库（清空表数据作为接收库）

图十四：附加好的参考库（清空表数据作为接收库）

附加完成后，右键选择该库，选择“新建查询”输入指令完成清除表数据

图十五：新建查询（清空表数据作为接收库）

清空表数据：

清空表数据，保留视图，存储过程，函数，以及保留表约束、触发器等等，可以给故障数据库预留一个好的躯壳，把坏库数据导入此躯壳。对用友、金蝶等数据库恢复有时候能达到好的效果。

清除表数据有两种方法：

一种用 delete from [表名]，这种方法对于大数据库，速度慢，会产生很大的日志信息，对于小库，速度可以忽略；

另一种是 truncate table [表名]，这种方法速度快，但清除不了具有外键的表数据。

在清除表数据时，可以采用两种方法结合。

清除表数据时先禁用一切约束，清除完成以后再次启用约束就行了。

1、采用 truncate table [表名] 清除表数据，排除具有外键属性的表，清除语句获取如下：

Use [要操作的库名字]

———————————————————————–

select

‘alter table [‘ +name+ ‘] nocheck constraint all; alter table [‘ +name + ‘] disable trigger all;

truncate table [‘+name+’];’

+ ‘ alter table [‘ +name + ‘] enable trigger all; alter table [‘ +name + ‘] check constraint all;

go’

from sysobjects where id not in(select parent_object_id from sys.foreign_keys) and id not in(select referenced_object_id from sys.foreign_keys) and type=’U’

———————————————————————–

上述 SQL 语句得到的结果，再次在 SQL 查询分析器里运行。

2、用 delete from [表名] 清除表数据语句获取如下

Use [要操作的库名字]

———————————————————————–

SELECT ‘alter table [‘ +object_name (id) + ‘] nocheck constraint all; alter table [‘ +object_name (id) + ‘] disable trigger all;

delete from [‘+object_name (id)+’];’ + ‘

alter table [‘ +object_name (id) + ‘] enable trigger all; alter table [‘ +object_name (id) + ‘] check constraint all;

go’

TableName from sysobjects where type=’U’

———————————————————————–

3、有些 MS SQL Server 查询分析器，对于上述语句后面的 go，copy 出来后不自动换行，可以把运行结果保存到文本文件中，查询分析器打开以后，会自动换行。如果不自动换行，sql 语句执行报错。