A felhasználói fájlokat titkosító, majd a felhasználóktól pénzkibocsátó vírusjárvány már globálissá vált. Az egyik az első volt a WannaCry vírus 2017-ben. Aztán megjelent klónjai és módosításai. Mi van, ha fájljait érinti ez a pestis? Nem valószínű, hogy mégis váltságdíj fizetése után sikerül megfejteni a fájlokat. Meg kell maradni a megoldások körül:
- adatok visszaállítása a biztonsági mentésekből
- fájlok kivonása az e-mail levelezésből, névjegyek és információk keresése a különböző hírnökökről
Vannak szoftvermegoldó cégek a probléma megoldására? Például, mit kínálhat a Microsoft? Válasz: NEM.
Ebben a helyzetben a legmegfelelőbb az SQL Server adatbázis visszaállítása az utolsó biztonsági másolatból. De mi van, ha a kiszolgálót nem lehetett helyreállítani a biztonsági másolatból? Mi a teendő, ha a biztonsági mentést a ransomware vírus is titkosítja??
A Ransomware vírusbugja
A vírusok a programokban, az operációs rendszerekben és a szociális tervezésben található különféle hibák miatt terjedtek. De a vírusok maguk is programok, és hibáikkal és rejtett sebezhetőségeik vannak. Milyen sebezhetőség vagy sebezhetőségek vannak a ransomware vírusokon? A vírusnak gyorsan titkosítania kell a maximális fájlokat. Kicsi fájlok, például Excel, Word, PowerPoint, Project, AutoCAD, CorelDRAW és egyéb adatfájlok esetén a titkosítási folyamat szörnyen gyors. Közvetlenül a fertőzés után fájlok százait és ezreit titkosítják. De mi történik, ha egy vírus nagy fájlt talál, például egy FoxPro vagy a Microsoft Access adatbázist? Ilyen esetekben a vírus általában a fájl elejét titkosítja, és a következő fájlra mozgatja, amelyet egy mappában vagy a lemez mellett talál..
Ez az árnyalat kevés reményt ad a felhasználóknak. A Microsoft SQL Server adatokat tárol MDF és NDF kiterjesztéssel rendelkező fájlokban. Ezeknek a fájloknak a mérete általában lenyűgöző: gigabájt és terabyte. Különösen tárolásukhoz nagylemezes tárolókat használnak, általában RAID-vezérlőkon alapulva. Mindegyik ilyen fájl elején van egy kis fejléc, majd nagy mennyiségű szolgáltatási információ található az adatokkal való gyors munkavégzéshez, a felhasználói adatok leírására szolgáló szolgáltatási információk és így tovább..
A legtöbb esetben a vírus az MDF és NDF fájlokban titkosítja a szolgáltatási adatok nagy részét. Valójában a fájlokban szereplő adatok titkosítatlanul maradnak.
Közvetett SQL Server-adatok helyreállítása
Ha vannak adatok, akkor hogyan lehet azokat elolvasni? Hogyan állíthatjuk össze az összes oldalt és adatblokkot, ha a vírus miatt a szolgáltatási információk már nem állnak rendelkezésre? Bonyolult eszközök szükségesek egy nem triviális feladat megoldásához.
Ezért a következő lépés egy eszköz (segédprogram, szolgáltatás vagy más eszköz) keresése, amely képes MDF és NDF fájlokban szereplő adatok elemzésére. Ezt megteheti a sérült Microsoft SQL Server adatbázisok helyreállítási segédprogramja. Hasonló problémákat oldnak meg ugyanolyan kezdeti feltételek mellett, amikor az adatbázis fájl egy része hiányzik vagy torzul..
E célokra a legelérhetőbb és legegyszerűbb segédprogram az Recovery Toolbox for SQL Server (https://sql.recoverytoolbox.com/hu/). Az SQL Server helyreállítási eszközkészletét több mint 10 évvel ezelőtt fejlesztették ki, és visszaállítja az adatokat a Microsoft SQL Server legelső verzióiból (6.5, 7.0, 2000) a legfrissebbekre (2017, 2019)..
Az SQL Server adatbázis helyreállítása a ransomware vírus után
Mivel az SQL Server helyreállítási eszköztárát csak egy célra fejlesztették ki (a sérült Microsoft SQL Server adatbázisok helyreállítása), legalábbis vannak benne a beállítások. A segédprogramot lépésről lépésre állítják elő, és a felhasználó minden lépésben egyszerű műveleteket hajt végre:
- Válassza ki a titkosított MDF fájlt
- Válasszon módszert és helyet a helyreállított adatok mentéséhez
- Válassza ki a menteni kívánt adatokat
- Indítsa el az adatok helyreállítását és a biztonsági mentést
A kezdeti szakaszban a segédprogram hosszú ideig elolvassa és elemzi a titkosított SQL Server adatbázist. Ez a program legfontosabb szakasza. Minél nagyobb a forrásfájl mérete és annál összetettebb az abban található adat, annál hosszabb ideig fut a program ebben a szakaszban. Az 1-5 TB méretű fájlokon, a hatékony szerver rendelkezésre állásától függően, a program akár 1 napig is működhet.
A titkosított MDF fájl adatait tartalmazó részekből összegyűjtött, helyreállított, részletekben összegyűjtött felhasználót kényelmes táblázatok és listák formájában kapjuk meg az SQL Server helyreállítási eszközkészletében. A felhasználó az adatokkal, táblázatokkal, a felhasználó által definiált funkciókkal és eljárásokkal böngészhet..
Ha a titkosított MDF fájlt sikeresen elemezte, akkor a program 2. oldalán szereplő listák és táblák nem lesznek üresek. Ellenkező esetben semmit nem lehet megnézni, és ebben az esetben nem kell fizetni, mivel a Recovery Toolbox SQL Server DEMO verziója teljesen ingyenes.
Ha a titkosított fájl elemzése sikeres volt, akkor választania kell az adatok mentésének módját:
- mint SQL szkriptek sok különálló fájlban
- exportálja az adatokat egy új Microsoft SQL Server adatbázisba
Figyelem: Ha egy SQL Server adatbázist visszaállít egy ransomware vírus után, akkor fennáll az esélye az adatok egy részének elvesztésére, így veszélyeztethető az adatok integritása. Ennek eredményeként az elsődleges és az idegen kulcsok valószínűleg nem fognak működni. Ez az SQL szkriptek elsődleges kulcsokkal és / vagy idegen kulcsokkal történő végrehajtásának szakaszában derül ki, miután az adatokat már importálták az adatbázisba. Az elsődleges és / vagy idegen kulcsokkal rendelkező parancsfájlok nem kerülnek végrehajtásra, vagy hibákkal kerülnek végrehajtásra.
Az SQL szkriptek végrehajtási sorrendje az adatok új adatbázisba történő exportálásakor:
A szkriptek ezt a sorozatát az Install.bat fájl tartalmazza, amelyet az SQL Server helyreállítási eszközkészlete az összes többi SQL szkripttel együtt a mappába ment. Csak futtassa ezt a fájlt a végrehajtáshoz a szükséges paraméterekkel (kiszolgáló neve, adatbázis neve, felhasználónév és jelszó) a parancssorban. Előfordulhat, hogy ezt a szkriptet többször kell futtatnia, hogy az adatok a lehető legteljesebben importálódjanak az adatbázisba..
A Microsoft SQL Server adatbázis helyreállítása a ransomware után
Ha az SQL Server adatbázisát ransomware vírus titkosította, akkor megkísérelheti az adatok fizetés nélküli helyreállítását. Ehhez:
- Adatok visszaállítása a biztonsági mentésből
- Kicsomagoljon adatokat .MDF / .NDF fájlokból az SQL Recovery Toolbox segítségével, SQL parancsfájlként
- Adatok importálása SQL szkriptekből egy új SQL Server adatbázisba
Remek napot!