山西一建新中大OA办公系统中勒索病毒修复成功

By | 2019年6月20日

 

这是山西一建公司,打电话说他们的新中大OA办公系统不能使用了,联系了软件公司,软件公司技术上门查看后确认该服务器中了“勒 索病毒”,没错,就是前段时间吵的沸沸扬扬的比特币勒 索病毒,

科普一下:

WannaCry(又叫Wanna Decryptor),一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(National Security Agency,美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播[1]。勒索病毒肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。勒索统计数据显示,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。[2]勒 索病毒是自熊猫烧香以来影响力最 高的病毒之一。WannaCry勒索病毒全球大爆发,至少150个国家、30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业,造成严重的危机管理问题。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后,无法正常工作,影响巨大。****病毒一般不会攻击任何个人,但一部分针对企业用户(如xtbl,wallet),一部分针对所有用户。

就目前而言,任何文件只要感染该病毒,如果没有密钥,是没有任何破解方法得,具,但惟独数据库文件,MDF)是个特例,该病毒会加密MDF文件的前面页面,真正的数据内容还没有被加密,可能也是因为该文件一般会比较大的原因。

该用户是新中大OA办公系统,使用SQL 2008R2的数据库,数据库文件MDF大概1.2TB左右。我们的工程师通过分析数据库结构,提取没有被加密过的数据区,从而生成新的数据库文件,进行测试还原操作,附加后查询数据结构均正常。服务器重新安装系统,安装OA软件,还原数据库查询历史数据均正常,至此数据恢复完成。

从分析数据结构到数据库顺利上线耗时近3天,对客户来说这是一个不幸中的万幸……