Wallet病毒比特幣勒索解密SQL數據庫修復案例

SQL數據庫中比特幣勒索病毒如何恢復，如何解密？

客戶單位：某中醫藥零單位

案例情況：用戶核心業務服務器遭Wallet病毒攻擊，Sql Server2008R2數據庫文件名被修改，加入勒索郵箱，并以Wallet結尾，具體見下圖，文件被加密，通過WINHEX查看器，文件底層被修改，數據庫質疑（置疑），核心業務服務停止，情況緊急，用戶聯系到軟件供應商，到現場處理，現場工程師從未見過此類情況，立即和我們聯系（我司老客戶），判斷中勒索病毒被加密，建議客戶立即斷網，將數據庫文件拷貝，準備備份文件，進行數據庫文件修復。

運行環境：windows service2008系統，做RAID5，SQL2008R2數據庫

恢復時間：2017年4月5日

解密恢復分析：

1.查看數據庫文件底層結構：

2.用戶提供了一個較早的bak文件，將文件還原后，查看了數據庫表結構（共有1138張表）；

3.使用既有的表結構去還原遭到病毒破壞的數據庫文件，將所有數據表導出后重新插入到事先準備好的空庫中；

4.數據查詢準確無誤，部分表結構損壞嚴重，開發人員重新生成，軟件功能使用正常，數據庫修復成功。至此SQL數據庫中Wallet比特幣勒索病毒，加密MDF文件成功恢復。

數據庫中“勒索病毒”恢復小結：

1.無意點中了“病毒代碼”，機器中所有文件被修改了“樣貌”，不要慌張，目前均有解決方案，總結如下：

①　找黑客交贖金，解密，這類費用高，有風險，但數據重要有不得不試；

②　找中介代理解密，交贖金+中介費 ，費用很高，風險由中介承擔，當然要簽好合同，約定不成功退款，或不成功不收費，否則有被中介坑的可能；

③　找恢復公司進行修復，目前經我司測試SQL/ORACEL/等數據庫均能被修復，這類費用遠遠低于贖金，成功率也很高，但能恢復的公司不多；

④　強力破解解密，據了解業內還無成功案例，期待好消息。

2.當你遇到此類情況，不要“病急亂投醫”，避免再次被坑，斷網絡，不要再其他沒有被加密的U盤、移動硬盤等存儲介質，及時和我們聯系：13305512885，我們將盡可能用最小的代價幫你解密/恢復數據，以及獲得最新的資訊。

3.保護好源文件不受二次破壞，或登錄我們的網站www.98rehj.com了解比特幣勒索病毒相關最新信息。