Епидемията от вируси, които криптират потребителски файлове и след това изнудват пари от потребителите, вече стана глобална. Един от първите беше вирусът WannaCry през 2017 година. Тогава се появяват неговите клонинги и модификации. Ами ако вашите файлове са засегнати от тази чума? Малко вероятно е да успеете да дешифрирате файлове, дори и след като платите откуп. Остава да заобикаляме заобикалящите проблеми:
- възстановяване на данни от архивиране
- извличане на файлове от имейл кореспонденция; търсене на контакти и информация в различни месинджъри
Има ли компании за софтуерни решения за решаване на проблема? Например, какво може да предложи Microsoft? Отговор: НИЩО.
Най-истинското в тази ситуация е да възстановите базата данни на SQL Server от последното архивиране. Но какво ще стане, ако сървърът не може да бъде възстановен от архива? Какво да направите, ако архивът също е криптиран от вируса на ransomware?
Ransomware virus bug
Вирусите се разпространяват поради различни грешки в програми, операционни системи и чрез социално инженерство. Но самите вируси са програми и имат бъгове и скрити уязвимости. Каква уязвимост или уязвимости имат вируси за извличане на софтуер? Вирусът трябва бързо да криптира максималния брой файлове. С малки файлове като Excel, Word, PowerPoint, Project, AutoCAD, CorelDRAW и други файлове с данни процесът на криптиране е ужасно бърз. Веднага след заразяването стотици и хиляди файлове се криптират. Но какво се случва, ако вирусът срещне голям файл, например база данни FoxPro или Microsoft Access? В такива случаи вирусът обикновено криптира началото на файла и се премества в следващия файл, който намира в папка или до диска.
Този нюанс дава на потребителите малко надежда. Microsoft SQL Server съхранява данни във файлове с разширения MDF и NDF. Размерите на тези файлове обикновено са впечатляващи: гигабайти и терабайти. Специално за тяхното съхранение се използват големи дискови съхранения, обикновено базирани на RAID контролери. В началото на всеки такъв файл е малка заглавка, след това следва големи количества служебна информация за бърза работа с данни, сервизна информация за описание на потребителски данни и т.н..
В повечето случаи вирусът криптира по-голямата част от служебните данни в MDF и NDF файловете. И всъщност страниците с данни във файла остават незашифровани.
Косвено възстановяване на данни на SQL Server
Ако има данни, тогава как да ги прочетете? Как да се съберат всички страници и блокове с данни, ако информацията за услугата вече не е налична поради вирус? Хитри инструменти, необходими за решаване на нетривиална задача.
Следователно, следващата стъпка е търсене на инструмент (помощна програма, услуга или друг инструмент), който може да анализира данни в MDF и NDF файлове. Това може да се направи от помощната програма за възстановяване на повредени бази данни на Microsoft SQL Server. Те решават подобни проблеми при същите първоначални условия, когато част от файла на базата данни липсва или е изкривена..
Най-достъпната и проста помощна програма за тези цели е Recovery Toolbox за SQL Server (https://sql.recoverytoolbox.com/en/). Recovery Toolbox за SQL Server е разработен преди повече от 10 години и възстановява данни от най-първите версии на Microsoft SQL Server (6.5, 7.0, 2000) до най-новите (2017, 2019).
Как да възстановим базата данни на SQL Server след вирус ransomware
Тъй като Recovery Toolbox за SQL Server е разработен само с една цел (възстановяване на повредени бази данни на Microsoft SQL Server), има поне настройките в него. Помощната програма е направена под формата на стъпка по стъпка помощник и на всеки етап потребителят извършва прости действия:
- Изберете криптиран MDF файл
- Изберете метод и място за запазване на възстановени данни
- Изберете данни за запис
- Започнете възстановяване на данни и архивиране
В началния етап, помощната програма чете и анализира криптираната база данни на SQL Server за дълго време. Това е най-важният етап от програмата. Колкото по-голям е размерът на изходния файл и колкото по-сложни са данните в него, толкова по-дълго ще работи програмата на този етап. На файлове с размер 1-5Tb, при наличие на мощен сървър, програмата може да работи до 1 ден.
Всичко, което беше възстановено, събрано на части от страници с данни от шифрования MDF файл, ще бъде предоставено на потребителя под формата на удобни таблици и списъци в Recovery Toolbox за SQL Server. Потребителят може да преглежда страници с данни, таблици, дефинирани от потребителя функции и процедури..
Ако шифрованият MDF файл е бил анализиран успешно, списъците и таблиците на 2-ра страница на програмата няма да бъдат празни. В противен случай няма да има какво да видите и няма нужда да плащате в този случай, тъй като DEMO версията на Recovery Toolbox за SQL Server е абсолютно безплатна.
Ако анализът на криптирания файл е бил успешен, тогава трябва да изберете как да запазите данните:
- като SQL скриптове в много отделни файлове
- експортиране на данни в нова база данни на Microsoft SQL Server
Внимание: при възстановяване на база данни на SQL Server след вируса на рансъмуер има вероятност да загубите част от данните, така че целостта на данните може да бъде нарушена. И в резултат Първичните ключове и Външните ключове най-вероятно няма да работят. Това ще бъде разкрито на етапа на изпълнение на SQL скриптове с първични ключове и / или чужди ключове, след като данните вече са импортирани в базата данни. Скриптове с първични ключове и / или чужди ключове няма да бъдат изпълнявани или ще бъдат изпълнени с грешки.
Последователността на изпълнение на SQL скриптове при експортиране на данни в нова база данни:
Тази последователност от скриптове е представена във файла Install.bat, който Recovery Toolbox за SQL Server записва в папката с всички останали SQL скриптове. Просто стартирайте този файл за изпълнение с необходимите параметри (име на сървър, име на база данни, потребителско име и парола) в командния ред. Може да се наложи да стартирате този скрипт няколко пъти, така че данните да бъдат импортирани в базата данни най-пълно..
Как да възстановим базата данни на Microsoft SQL Server след извличане на софтуер
Ако вашата база данни на SQL Server е била шифрована с вирус, използван от компютър, можете да опитате да възстановите данните без плащане. За целта трябва:
- Възстановяване на данни от архивиране
- Извадете данни от .MDF / .NDF файлове с помощта на Recovery Toolbox за SQL Server като SQL скриптове
- Импортиране на данни от SQL скриптове в нова база данни на SQL Server
Приятен ден!