数据库中了勒索病毒，怎么办？

1、SQL Server

SQL Server 是一个关系数据库管理系统。它最初是由Microsoft Sybase 和Ashton-Tate三家公司共同开发的，于1988 年推出了第一个OS/2 版本。在Windows NT 推出后，Microsoft与Sybase 在SQL Server 的开发上就分道扬镳了，Microsoft 将SQL Server 移植到Windows NT系统上，专一于开发推广SQL Server 的Windows NT 版本。Sybase 则较专一于SQL Server在UNIX 操做系统上的应用。

2、 故障信息

数据库类型：SQL Server

版本类型：2008R2

故障情况：用户有1个数据库被加密，且目前没法使用。

表现方式：数据库MDF、LDF、log日志文件名字已被更改，以下图所示：

数据库备份被加密，文件名字作了修改，具体状况以下图所示：

3、 备份数据库

为防止数据恢复过程当中因为误操做对原始数据库形成二次破坏,首先要为每一个库作备份。此后全部恢复操做都在备份数据库上进行, 杜绝对原始数据库形成破坏。

4、 故障分析及恢复

一、使用专业恢复软件打开中病毒的SQL server数据库，能够看到数据库的头部已被破坏。

二、sqlserver 数据库页大小8K，按8K大小切块，向下查找，最终分析得出，每128K进行一次加密。

三、 打开数据库备份，发现也是每128K进行一次加密。

向下搜索数据库页起始标志01 0F，发现此处没有被加密。通过分析，数据库与数据库备份加密方式同样，每128K进行一次加密，因为数据库备份头部记录备份信息，数据库页起始向下偏移。所以数据库中加密的页与数据库备份中加密的页正好错开。

四、 修复加密数据库

结合数据库备份对数据库中加密的页进行修复，经过数据库管理工具附加修改好的数据库，并进行查询验证。


5、数据恢复结果及验收状况

经用户验收查证，数据库都可成功附加，显示数据无误，至此数据恢复工做结束。