【数据恢复案例】如何确保被.520勒索病毒加密的数据库100%恢复？

目录

前言：案例简介

一、什么是.520勒索病毒？

二、中了.520后缀勒索病毒文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据情况

2. 数据恢复完成情况

3. 数据恢复工期

系统安全防护措施建议：

---

前言：案例简介

        .520后缀勒索病毒是国外知名勒索病毒家族的新型传播病毒，自9月底该病毒爆发以来，我们每天都接到不少的被感染加密企业咨询与求助，近一个多月来，我们团队也持续不断深入研究，因该病毒存在加密程序缺陷，而导致有一部分客户即使支付赎金购买了解密密钥依然无法成功解密，导致产生了更加惨重的损失。经我们团队检测分析大量的服务器加密文件及成功恢复案例总结分析，目前已研究出较为有效确保数据库文件100%恢复，非数据库文件99%+恢复率的完美方案。

        下面我们看几台.520加密数据的恢复案例。

---

一、什么是.520勒索病毒？

       .520勒索病毒与大多数勒索病毒一样，.520勒索病毒通过加密阻止对文件的访问，更改文件名并向受害者提供有关如何恢复其文件的说明。该勒索病毒通过加密文件并在文件名后附加“ .520 ”扩展名来重命名所有加密文件。

        .520勒索病毒是一种文件加密病毒，旨在对用户文件进行编码并将其扣为人质，直到您缴纳勒索赎金为止。该勒索病毒通常会编码一列被认为对受害者有价值的文件，并更改其文件扩展名以使它们不可访问。

         加密数据后，.520勒索病毒还与Command＆Control 服务器联系，为每个受害者发送一个RSA私钥。最终，该恶意软件会加密图片，文档，数据库，视频和其他文件，仅保留系统数据，还有其他一些例外。

       万一不幸感染了这个勒索病毒，您应该做的第一件事就是断网检查数据中毒情况并寻找专业数据恢复公司的帮助。

感染.520后缀勒索病毒建议立马做以下几件事情: 

1.将感染病毒的断开互联网连接；

2.拔下所有存储设备；

3.注销云存储帐户；

4.关闭所有共享文件夹；

5.寻求专业数据恢复公司的帮助，千万不要擅自进行文件后缀修改，这将二次破坏文件内容，可能导致后期数据无法恢复。

.520勒索病毒是如何传播感染的？

经过分析多家公司感染.520勒索病毒后的机器环境及系统日志判断，勒索病毒基本上是通过以下几种方式入侵，请大家可逐一了解并检查以下防范入侵方式，毕竟事前预防比事后恢复容易的多。

远程桌面口令爆破

    关闭远程桌面，或者修改默认用户administrator。

数据库弱口令攻击

    检查数据库的sa用户的密码复杂度。 

软件漏洞

    根据系统环境，针对性进行排查，例如常见被攻击环境Java、通达 OA、致远 OA 等。查 web 日志、排查域控与设备补丁情况等。

---

二、中了.520后缀勒索病毒文件怎么恢复？

此后缀病毒文件由于加密算法的原因，每台感染的电脑服务器文件都不一样，需要独立检测与分析加密文件的病毒特征与加密情况，才能确定最适合的恢复方案。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据确实有恢复的价值与必要性，可关注91数据恢复公众号免费检测与咨询数据恢复方案。

---

三、恢复案例介绍：

1. 被加密数据情况

        三台服务器，总共被加密的文件数据量约1500万+个，数据量大约400G左右。

第一台服务器数据恢复前：​​​​​​​

第一台服务器数据恢复后：

 第二台服务器数据恢复前：

第二台服务器数据恢复后：

第三台服务器数据恢复前：

第三台服务器数据恢复后：

2. 数据恢复完成情况

        三台服务器的数据均完成恢复，一共45万多个非数据库文件，仅有几个系统盘无用文件未恢复，全盘文件恢复率为99.99%+，全部数据库文件均100%恢复。恢复完成的文件均可以正常打开及使用。

3. 数据恢复工期

恢复工期：

       三台服务器，我们团队在收到客户当天下单开始连续通宵执行恢复施工，最终于第三天晚上完成了三台全部数据的恢复，总耗时2天半。

系统安全防护措施建议：

1.多台机器，不要使用相同的账号和口令

2.登录口令要有足够的长度和复杂性，并定期更换登录口令

3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份

4.定期检测系统和软件中的安全漏洞，及时打上补丁。

5.定期到服务器检查是否存在异常。

6.安装安全防护软件，并确保其正常运行。

7.从正规渠道下载安装软件。

8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。 

9.保存良好的备份习惯，尽量做到每日备份，异地备份。