一:案例描述
客户向我们反馈服务器于昨晚遇到网络安全事件,SQL Server数据库文件名被修改带有“.Seoul”后缀,文件被加密,文件底层被修改,客户询问是否可以修复,我们建议客户立即断网,将数据库文件异地拷贝,并进行全盘备份,进行数据库文件修复。

【网络安全服务器数据恢复】数据中心服务器SQL Server数据库文件被加密数据恢复案例_服务器数据恢复

二:解决方案

1.案例评估

经我司技术工程师分析,该事件的加密为头尾加密,使用工具可以看到该数据库文件头部已经没有SQL Server数据库文件应有标识,详细如下:

【网络安全服务器数据恢复】数据中心服务器SQL Server数据库文件被加密数据恢复案例_网络安全_02

我们向下分析,在256号扇区找到数据库文件结构,如下所示:

【网络安全服务器数据恢复】数据中心服务器SQL Server数据库文件被加密数据恢复案例_SQL Server数据库_03

继续向下分析,直到结尾处发现一段神秘数字,怀疑可能是加密信息:

【网络安全服务器数据恢复】数据中心服务器SQL Server数据库文件被加密数据恢复案例_数据库数据恢复_04

经过上面对SQL Server数据库被加密文件的分析,我们可以得出结论,该SQL Server数据库被加密了文件头部256扇区,尾部疑似也占用了部分扇区。由此我们可以推断出该文件被加密的扇区占比:

【网络安全服务器数据恢复】数据中心服务器SQL Server数据库文件被加密数据恢复案例_SQL Server数据库_05

2.恢复方案
通过对SQL Server数据库文件的分析,前256扇区主要是一些数据库文件结构信息。一般这种情况下有3种恢复方案:
方案1:使用数据库修复工具对该文件直接进行修复,按照经验来判断,这样一般可以恢复90%以上的数据库内容,但只能由SQL Server数据库附加,调用该数据库的相关软件大概率无法使用。
方案2:可以找该数据库之前很老的备份文件,进行扇区移植,即复制前256扇区到该数据库,替换掉被加密的256扇区,这样再通过数据库修复工具进行修复,可以恢复大约99%的数据库内容,大部分调用该数据库的软件也能够使用,但是预估在使用过程中会出现各种错误。那是因为有部分视图、函数、或者是存储过程在通过数据库修复工具进行修复的时候可能会出现丢失。
方案3:使用方案2进行扇区替换后,因为替换的毕竟是老的数据库的,链结构肯定不足以支撑访问所有数据,可以针对性的先使用工具对未加密区域的数据进行分析,将未加密区域的数据流和存储过程、函数、视图的链结构提前记录,写入新的256扇区后,在新写入的扇区里面,解析出相似的链结构,然后修改链结构,或者是把指向改为我们分析的地址。这样再使用任意的数据库修复工具,即可完整的恢复出该数据库的结构,最大程度上还原加密前的存储过程、函数和视图,使调用该数据库的相关软件能够正常使用。

【网络安全服务器数据恢复】数据中心服务器SQL Server数据库文件被加密数据恢复案例_数据安全_06

三:案例总结
遇到网络安全事件了怎么办?切勿支付赎金!

说起来容易,一些数据价值高、业务连续性要求强的行业,因迫切想要恢复业务,往往别无选择只能支付赎金。但支付赎金也并不能保证所有的数据都被恢复。调查结果显示,80%的组织或企业向对方支付赎金后会再次遭受。组织或企业在支付赎金后其中只有8%恢复了所有数据。63%只恢复了65%的数据,29%只恢复了不到一半的数据。网络安全事件平均导致16个工作日的系统停机。调查结果显示企业(13%)和金融(14%)、政府(14%)成为最容易遭受网络安全事件的三大行业。70%的企业过去一年经历了两次或以上的网络安全事件,中国企业的情况更加严重,多达76%的中国企业过去一年遭受网络安全事件。网络安全事件制作成本低,手法多样,形式防不胜防,风险不可视,全球每11秒就会发生一起网络安全事件。网络安全事件正变得更具针对性,目标转向企业核心系统。网络安全事件工具越来越先进,趋于APT化,且逃逸能力强;企业检测和处置能力不足,生产运营面临严峻威胁。

当网络安全事件发生时,企业所能做的是寻求专业帮助,在没有得到专业公司的专家建议时,切勿自己联系对方,避免遭受更大的财务损失。