数据库中了勒索病毒，怎么办？

一、SQL Server

SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的，于1988 年推出了第一个OS/2 版本。在Windows NT 推出后，Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了，Microsoft 将SQL Server 移植到Windows NT系统上，专注于开发推广SQL Server 的Windows NT 版本。Sybase 则较专注于SQL Server在UNIX 操作系统上的应用。

二、 故障信息

数据库类型：SQL Server

版本类型：2008R2

故障状况：用户有1个数据库被加密，且目前无法使用。

表现方式：数据库MDF、LDF、log日志文件名字已被更改，如下图所示：

数据库备份被加密，文件名字做了修改，具体情况如下图所示：

三、 备份数据库

为防止数据恢复过程中由于误操作对原始数据库造成二次破坏,首先要为每个库做备份。此后所有恢复操作都在备份数据库上进行, 杜绝对原始数据库造成破坏。

四、 故障分析及恢复

1、使用专业恢复软件打开中病毒的SQL server数据库，可以看到数据库的头部已被破坏。

2、sqlserver 数据库页大小8K，按8K大小切块，向下查找，最终分析得出，每128K进行一次加密。

3、 打开数据库备份，发现也是每128K进行一次加密。

向下搜索数据库页起始标志01 0F，发现此处没有被加密。经过分析，数据库与数据库备份加密方式一样，每128K进行一次加密，由于数据库备份头部记录备份信息，数据库页起始向下偏移。因此数据库中加密的页与数据库备份中加密的页正好错开。

4、 修复加密数据库

结合数据库备份对数据库中加密的页进行修复，通过数据库管理工具附加修改好的数据库，并进行查询验证。


五、数据恢复结果及验收情况

经用户验收查证，数据库均可成功附加，显示数据无误，至此数据恢复工作结束。