跨国企业恢复受NotPetya勒索软件影响的Microsoft SQL数据库
客户是一家大型欧洲企业,业务遍及100多个国家。该组织使用基于SQL server的管理信息系统来管理员工时间跟踪、休假和商务旅行等活动。
由于数据库损坏,其区域员工无法再在工作时间打卡,申请休假,以及其他与工作时间相关的活动。大约有100名用户抱怨无法登录时间跟踪系统。
初步调查显示,应用程序无法连接到后端SQL数据库,因为数据库由于损坏而离线。该系统在很大程度上依赖于后端数据来填充用户所请求的信息并存储用户的新条目。
使用第三方数据库恢复应用程序和SQL本地恢复命令DBCC CHECKDB with repair来修复数据库,但由于损坏的程度,结果没有达到预期。
根本原因分析
调查该问题的SQL数据库团队找到了损坏数据库的根本原因。有一种传播NotPetya网络中的病毒,它破坏了数据库及其备份。这是另一种彼佳ransomware;然而,NotPetya更危险,因为它可以自己传播。
勒索软件不需要用户点击垃圾邮件,启动它,并在它可以造成任何损害之前给予它管理权限。这种病毒通过不同的方式传播,几乎没有人为干预。它加密其路径中的所有内容,包括导致磁盘相关问题的主引导记录(MBR)。
进一步查看SQL错误日志和Windows事件日志表明,磁盘子系统或磁盘控制器上存在硬件问题。
技术挑战
我们联系了磁盘供应商,他们立即开始着手解决硬件问题。发现物理磁盘驱动器没有与计算机通信,这表明可能有坏的磁盘阵列控制器。
磁盘阵列控制器是一种管理物理磁盘驱动器并将其作为逻辑单元呈现给计算机的设备,用于分区和其他磁盘管理功能。
然后,供应商必须更换系统中一些故障的磁盘阵列控制器,并重新创建分区。
服务器也打了微软Windows补丁(ms17 - 010)是什么堵住了漏洞ExternalBlue那NotPetya依赖。补丁完成后,团队决定运行一些windows磁盘命令(修复| diskpart)查询磁盘子系统,并确保该子系统中不存在损坏。
数据库管理员尝试使用已知的第三方工具以及带有repair实用程序的SQL本机DBCC CHECKDB来修复损坏的数据库。数据库的损坏已经蔓延到页眉,多次尝试修复数据库都没有成功。管理员尝试了一些软件,但不幸的是,他们无法恢复. mdf和. ndf文件,因为由于严重的数据库损坏,页眉信息、事务日志编号和约束信息等元数据丢失了。
业务需求
需要手动重新创建数据库,并尝试从损坏的数据库迁移尽可能多的数据来重建一个新的数据库。这必须通过将损坏的数据库设置为紧急模式,并尝试将尽可能多的数据提取到新数据库中来实现。数据库非常庞大,无法估计实现迁移所需的时间以及从损坏的数据库中提取的数据量。该任务可能会消耗数百小时的IT资源,并且无法保证成功解决。
解决方案
该组织联系了恒星数据恢复来修复SQL数据库损坏问题。欧宝app官网登录欧宝娱乐app下载地址使用了Stellar Repair for SQL——一种专门修复大型数据库文件而不丢失数据的数据库软件。它具有直观的界面,帮助数据库管理员快速配置正确的设置和运行软件。
该工具能够成功修复损坏的数据库,并解密被加密的数据NotPetya病毒。日志含义恢复的SQL数据库在线,允许时间跟踪管理工具连接数据库。员工可以进入系统并根据需要执行他们的任务。
下载
