跨国企业恢复受NotPetya勒索软件影响的Microsoft SQL数据库
该客户是一家大型欧洲企业,业务遍及100多个国家。该组织正在使用基于SQL server的管理信息系统来管理活动,如员工时间跟踪、休假和商务旅行等。
由于数据库损坏,其区域员工不能再打卡工作时间、请求休假和其他与工作时间相关的活动。大约有100名这样的用户抱怨无法登录时间跟踪系统。
初步调查显示,应用程序无法连接到后端SQL数据库,因为数据库由于损坏而离线。该系统严重依赖后端数据填充用户请求的信息并存储用户的新条目。
使用第三方数据库恢复应用程序和SQL本地恢复命令DBCC CHECKDB with repair修复数据库,但由于损坏程度的原因,结果没有达到预期的效果。
根本原因分析
正在调查该问题的SQL数据库团队发现了数据库损坏的根本原因。有一种传播NotPetya网络中存在病毒,它破坏了数据库及其备份。这是另一种彼佳ransomware;然而,NotPetya更危险,因为它可以自行传播。
勒索软件不需要用户点击垃圾邮件,启动它,并在它可以造成任何破坏之前给它管理权限。这种病毒通过不同的方式传播,几乎没有人为干预。它加密其路径中的所有内容,包括导致磁盘相关问题的主引导记录(MBR)。
进一步查看SQL错误日志和Windows事件日志表明,磁盘子系统或磁盘控制器上存在硬件问题。
技术挑战
我们联系了磁盘供应商,他们立即开始着手解决硬件问题。发现物理磁盘驱动器没有与计算机通信,这表明可能是磁盘阵列控制器坏了。
磁盘阵列控制器是一种设备,它管理物理磁盘驱动器,并将其作为分区和其他磁盘管理功能的逻辑单元呈现给计算机。
然后,供应商不得不更换系统中一些故障的磁盘阵列控制器,并重新创建分区。
这些服务器也打了微软Windows补丁(ms17 - 010)谁能阻止被利用的漏洞ExternalBlue那NotPetya依赖。补丁完成后,团队决定运行一些windows磁盘命令(Fsutil修复| diskpart)查询磁盘子系统,并确保子系统中没有损坏。
数据库管理员试图通过使用已知的第三方工具以及带有repair实用程序的SQL本机DBCC CHECKDB来修复损坏的数据库。数据库的损坏已经扩散到头页,修复数据库的多次尝试都失败了。管理员尝试了一些软件,但不幸的是,他们无法恢复. mdf和. ndf文件,因为由于数据库严重损坏,诸如头页信息、事务日志编号和约束信息等元数据丢失了。
业务需求
需要手动重新创建数据库,并尝试从损坏的数据库迁移尽可能多的数据,以重建一个新的数据库。要做到这一点,必须将损坏的数据库置于紧急模式,并尝试将尽可能多的数据提取到一个新数据库中。数据库非常庞大,无法估计完成迁移需要多少时间,也无法估计可以从损坏的数据库中提取多少数据。该任务可能会消耗数百小时的IT资源,而没有任何成功解决方案的保证。
解决方案
该组织联系了Stellar Data Recovery来修复SQ欧宝娱乐app下载地址L数据库损坏的问欧宝app官网登录题。使用了Stellar Repair for SQL——一款专门修复大型数据库文件而不丢失数据的数据库软件。它具有直观的界面,帮助数据库管理员快速配置正确的设置并运行软件。
该工具能够成功修复损坏的数据库,并解密被加密的数据NotPetya病毒。将恢复的SQL数据库恢复到联机状态,允许时间跟踪管理工具连接到数据库。员工可以进入系统并根据需要执行他们的任务。
下载