勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享

0.前言

今天公司服务器中招LockBit2.0勒索病毒,损失惨重,全体加班了一天基本解决了部分问题,首先是丢失的文件数据就没法恢复了,这一块没有理睬,主要恢复的是两个数据库,一个是16GB大小的SQLserver数据库,另一个是一个15GB大小的Mysql数据库,最后丢失了1%左右的内容顺利恢复了两个数据库,因为lockbit勒索病毒的分享给文章太少,这里就记录下自己恢复的过程。

1.恢复逻辑

lockbit2.0的锁定逻辑是针对有价值的文件,头部4KB给你加密,尾部4KB给你加密,然后中间隔一段随机(也可能是固定间隔,没有考证过)给你加密大约4KB,全局给你大约加密不到1%的数据,因此恢复的逻辑也就是舍弃这些被加密的数据,尽可能恢复数据库正常。

注意!!!,lockbit2.0不存在找人破解的可能性,找人弄也是按照上面的逻辑,懂程序原理的都知道lockbit的加密是无法被破解的,因此注意各位不要被骗!

另外我们能恢复数据库主要是我们的数据库有以下特点,数据库极大,表内条数极多,这样被损坏的数据才能最大概率着落在表内数据的,并且表内多是流水账数据,丢失部分的损失可控,因此修复的可能性最高,如果你的数据库不大,几百兆,内容不多表结构复杂的,没什么修复的价值。

2.sqlserver恢复

sqlserver市面是存在恢复软件的,我找的是达思科技的软件,1399元买了一天的使用权限,通过被锁的文件和1年前数据库文件(一半大小)一起合并进行了恢复,最后的回复结果是大致回复了99%的数据,部分表格少几条数据,有一个表格是40000多条数据,少了20条,另一个表格18000条数据,少了8条,少的数据就是被加密的数据,被舍掉了。因为sqlsever按照我查的资料,主要被加密的数据一个是头文件,也就是表结构,主要是通过过去的备份文件恢复的,中间的数据就是舍弃。这个恢复成功的思路对我后面回复mysql提供了较大的帮助。

最终sqlsever恢复,但是因为是财务软件的数据库,少的数据还是会导致很多模块计算有问题,这个只能后续慢慢反查和处理了。

注意,一天时间比较宝贵,请提前给自己的机子搭建好本地sql server环境,到恢复成功大约耗时要18个小时,需要通宵干。

3,mysql恢复

mysql恢复是最复杂的,首先mysql市面上是没有成品恢复软件的,不要被骗。因此只能动手恢复mysql的原始文件是分立的文件,每一个文件都被加密了,原始数据库是二进制文件,因此恢复原始数据库文件的难度最大,几乎是不可能被恢复。

因此我们恢复瞄准的是备份的.sql文件,.sql文件是一个类似文本文件,可读性高,恢复起来比较容易。

3.1 mysql文件的逻辑与查看

mysql文件的基本逻辑是如下

建立数据库(一句话)

{

 建立表A

建立表A结构(列)

插入表A的数据 *N

。。。。

}  *N个表循环

其中头部的4KB是建立表头和建立表结构,这一块只能手敲,具体方法是自己建立数据库,复原表结构后导出为sql文件,然后比对着sql文件自己手动恢复头部4KB文件。

第二部分是建立表结构,表结构不复杂的话大约是1KB左右的样子

第三部分是插入表数据,这个是数据库中最大的一块,我们的mysql会将一大堆数据写成一个insert插入,每一个insert的最长是2MB字节的大小,因此如果损坏的4KB落在这里的话,就要排除掉这2MB,后续再维修这2MB。

加密的逻辑是随机加密(待考),因此文件内部被锁的4KB落在insert中的概率最大。

对于这种单文件超大的sql文件,是没有查看工具的,因此首先用c#写一个分析工具,逐行分析这个sql文件是干什么的

使用下面的代码,可以将每一行都打印到log文件中,使用文本打开log文件可以查看sql语句的结构。

static void Main(string[] args)
        {

            ///*          sql有效性验证算法+打印算法
            int linenum = 0;
            string filename = "I:\\mysql_backup_20231008__00_00.sql.lockbit";
            string filename1 = "I:\\log.text";
            string filename2 = "I:\\xiufuz_error.sql";
            String line;
            bool bResult;
            int[] errorcode = new int[5];


            try
            {
                StreamReader sr = new StreamReader(filename);
                StreamWriter sw1 = new StreamWriter(filename1);
                //StreamWriter sw2 = new StreamWriter(filename2);
                StringBuilder sb = new StringBuilder();     //定义
                sb.Clear();
                int isbinary = 0;
                int errortick = 0;
                int isrightorerror = 0;
                while (!sr.EndOfStream)
                {
                    //lstchar2 = lstchar1;
                    //lstchar1 = currentChar;
                    string readlinest = sr.ReadLine();
                    byte[] charArray = Encoding.Default.GetBytes(readlinest);
                    sb.Append(readlinest);
                    if (charArray.Count() > 0)
                    {
                        if (charArray[charArray.Count() - 1] == 0x3b)
                        {
                            line = sb.ToString();
                            sb.Clear();     //清空
                            linenum++;
                            byte[] bytetemp = Encoding.Default.GetBytes(line);
                            isbinary = 0;
                            errortick = 0;
                            isrightorerror = 0;     //正确
                            for (int i = 0; i < line.Length; i++)
                            {
                                if (i + 7 < line.Length)
                                {
                                    if (line[i] == '_')
                                    {
                                        try
                                        {
                                            if (line[i+1]=='b'&&line[i+2]=='i'&&line[i+3]=='n'&&line[i+4]=='a'&&line[i+5]=='r')
                                            {
                                                isbinary = 1;
                                            }
                                        }
                                        catch
                                        {

                                        }
                                    }
                                            
                                }
                                        
                                if (isbinary == 0)
                                {
                                    if (!IsChineseLetter(line, i))
                                    {
                                        errorcode[errortick] = Char.ConvertToUtf32(line, i);
                                        errortick++;
                                        if (errortick > 3)
                                        {
                                            
                                            if (Char.ConvertToUtf32(line, i) < 0xff00)
                                            {

                                            }
                                            isrightorerror = 1; //错误
                                            break;
                                        }
                                                
                                    }
                                }
                                else
                                { 
                                            
                                }
                            }

                            if (isrightorerror == 1)
                            {
                                //错误
                                //sw2.WriteLine(line);
                                sw1.WriteLine("行:" + linenum.ToString("D5") + "错误,内容:" + line.Substring(0, 50) + "---" + errorcode[0].ToString("X4") + ',' + errorcode[1].ToString("X4") + ',' + errorcode[2].ToString("X4"));
                                //Console.WriteLine("错误字符,line:" + linenum.ToString() + ",长度:"+line.Length.ToString()+"---" + errorcode[0].ToString("X4") + ',' + errorcode[1].ToString("X4") + ',' + errorcode[2].ToString("X4"));
                            }
                            else
                            { 
                                //正确
                                //sw1.WriteLine(line);
                                sw1.WriteLine("行:" + linenum.ToString("D5") + "正确,内容:" + line.Substring(0, line.Length > 50 ? 50 : line.Length));
                            }
                            if (linenum % 100 == 0)
                                Console.WriteLine("Line:" + linenum.ToString());
 
                        }
                    }

                }

                sr.Close();
                sw1.Close();
                //sw2.Close();
                Console.WriteLine("Final Line:" + linenum.ToString());
            }
            catch (Exception e)
            {
                Console.WriteLine("Exception: " + e.Message);
            }
            finally
            {
                Console.WriteLine("Executing finally block.");
            }
                    

            while (true) ;
}

通过上述文件打印出来的log可以观察到非常多的信息:

如下图,这是一个正确的建立表格,插入数据的结构,由7行的建立表头,若干行的INSERT数据和1行的解锁组成,按照这个逻辑可以查看每一个表格的语句是否完成,如图我战士的after_sales这个表格就非常完整。

勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享_第1张图片如下图所示,这是一个典型的中间有损失的表,可以看到表结构是正确的,插入语句在21393行出现了错误,这一条语句的数据就要被舍弃,后续再根据重要性选择恢复剩余的细节,但是这个表的绝大多数部分都会恢复并且是好的

勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享_第2张图片

3.2 使用程序辅助分离sql文件中的好的部分和坏的部分

这里我使用的C#写的处理程序,处理逻辑是,按照分号加换行符来确认不同的sql语句行,在每一行中逐个字节判断字节是不是有效的文本信息,如果本行文件中出现了三次以上的非Unicode字符的字节,我们就判定这一行被加密了,将这一行复制到错误的文件中等待修复,反之则复制到正确的文件中修复。

附C#代码

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.IO;
namespace 勒索修复程序
{
    class Program
    {
        //我的数据库中各个国家的文字都有,因此这里做了针对性的排除
        static bool IsChineseLetter(string input, int index)
        {
            int code = 0;
            int chfrom = Convert.ToInt32("4e00", 16); //范围(0x4e00~0x9fff)转换成int(chfrom~chend)
            int chend = Convert.ToInt32("9fff", 16);
            if (input != "")
            {
                code = Char.ConvertToUtf32(input, index); //获得字符串input中指定索引index处字符unicode编码
                if (code < 0x80)        //英文是正确的
                    return true;
                if (code >= chfrom && code <= chend)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0xa0 && code <= 0xff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0xff00 && code <= 0xffee)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x3000 && code <= 0x30ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x3300 && code <= 0x36ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x13a0 && code <= 0x13ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x2000 && code <= 0x22ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x2400 && code <= 0x27ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x0100 && code <= 0x02ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x0370 && code <= 0x03ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x0400 && code <= 0x05ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x0600 && code <= 0x06ff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x0e00 && code <= 0x0fda)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0xac00 && code <= 0xd7a3)       //韩文
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0xaa80 && code <= 0xaac2)       
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x1d00 && code <= 0x1eff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x0900 && code <= 0x0bff)
                {
                    return true; //当code在中文范围内返回true
                }
                if (code >= 0x3400 && code <= 0x4dbf)       //繁体
                {
                    return true; //当code在中文范围内返回true
                }
                else
                {
                    return false; //当code不在中文范围内返回false
                }
            }
            return false;
        }
        static void Main(string[] args)
        {

            ///*          sql有效性验证算法
            int linenum = 0;
            string filename = "I:\\mysql_backup_20231008__00_00.sql.lockbit";    //目标文件
            string filename1 = "I:\\xiufuz_right.sql";    //正确的保存文件
            string filename2 = "I:\\xiufuz_error.sql";    //错误的保存文件
            String line;
            bool bResult;
            try
            {
                StreamReader sr = new StreamReader(filename);
                StreamWriter sw1 = new StreamWriter(filename1);
                StreamWriter sw2 = new StreamWriter(filename2);
                StringBuilder sb = new StringBuilder();     //定义
                sb.Clear();
                int isbinary = 0;
                int errortick = 0;
                int isrightorerror = 0;
                while (!sr.EndOfStream)
                {
                    //lstchar2 = lstchar1;
                    //lstchar1 = currentChar;
                    string readlinest = sr.ReadLine();
                    byte[] charArray = Encoding.Default.GetBytes(readlinest);
                    sb.Append(readlinest);
                    if (charArray.Count() > 0)
                    {
                        if (charArray[charArray.Count() - 1] == 0x3b)
                        {
                            line = sb.ToString();
                            sb.Clear();     //清空
                            linenum++;
                            byte[] bytetemp = Encoding.Default.GetBytes(line);
                            isbinary = 0;
                            errortick = 0;
                            isrightorerror = 0;     //正确
                            for (int i = 0; i < line.Length; i++)
                            {
                                if (i + 7 < line.Length)
                                {
                                    if (line[i] == '_')
                                    {
                                        try
                                        {
                                            if (line[i+1]=='b'&&line[i+2]=='i'&&line[i+3]=='n'&&line[i+4]=='a'&&line[i+5]=='r')
                                            {
                                                isbinary = 1;
                                            }
                                        }
                                        catch
                                        {

                                        }
                                    }
                                            
                                }
                                        
                                if (isbinary == 0)
                                {
                                    if (!IsChineseLetter(line, i))
                                    {
                                        errorcode[errortick] = Char.ConvertToUtf32(line, i);
                                        errortick++;
                                        if (errortick > 3)
                                        {
                                            Console.WriteLine("错误字符,line:" + linenum.ToString() + ",长度:"+line.Length.ToString()+"---" + errorcode[0].ToString("X4") + ',' + errorcode[1].ToString("X4") + ',' + errorcode[2].ToString("X4"));
                                            if (Char.ConvertToUtf32(line, i) < 0xff00)
                                            {

                                            }
                                            isrightorerror = 1; //错误
                                            break;
                                        }
                                                
                                    }
                                }
                                else
                                { 
                                            
                                }
                            }

                            if (isrightorerror == 1)
                            {
                                //错误
                                sw2.WriteLine(line);
                            }
                            else
                            { 
                                //正确
                                sw1.WriteLine(line);
                            }
 
                        }
                    }

                }

                sr.Close();
                sw1.Close();
                sw2.Close();
                Console.WriteLine("Final Line:" + linenum.ToString());
            }
            catch (Exception e)
            {
                Console.WriteLine("Exception: " + e.Message);
            }
            finally
            {
                Console.WriteLine("Executing finally block.");
            }
                    

            while (true) ;
            // */

            
            while(true);
        }
    }
}

执行效果如下图

勒索病毒LockBit2.0 数据库(mysql与sqlsever)解锁恢复思路分享_第3张图片

可以看到,被攻击的段落中至少出现三个FFFD以上的,这个就是被攻击的段落的特点,将没被攻击的干净的sql文件导出后进行下一步处理。

3.3 mysql文件导入库

mysql文件导入mysql库的过程需要自己执行,导入过程中发现错误随时进行处理和补全表结构,这里因为表是你自己建的,别人也帮不了你,是一个苦功夫,但是我的数据库16GB大小,表结构占位不到1MB,因此表结构被加密的概率较低,实际恢复过程中我的数据库就一个表结构被损坏了,因此就补了一个表结构就完成了数据库的恢复。

3.4 其他被损坏的文件的处理

首先我通过C#将500MB左右的损坏文件拆成了10个50MB的文件,按照每个文件50行

附代码

static void Main(string[] args)
        {

            ///*     //拆分算法
            try
            {
                string line="";
                int linenum=0;
                byte lstchar1=0, lstchar2=0;
                byte currentChar=0;
                int block = 0;
                string filename = "I:\\xiufuz_error.sql";
                string filename1 = "I:\\error1.sql";
                string filename2 = "I:\\error2.sql";
                string filename3 = "I:\\error3.sql";
                string filename4 = "I:\\error4.sql";
                string filename5 = "I:\\error5.sql";
                string filename6 = "I:\\error6.sql";
                string filename7 = "I:\\error7.sql";
                string filename8 = "I:\\error8.sql";
                string filename9 = "I:\\error9.sql";
                string filename10 = "I:\\error10.sql";
                StreamReader sr = new StreamReader(filename);
                StreamWriter sw1 = new StreamWriter(filename1);
                StreamWriter sw2 = new StreamWriter(filename2);
                StreamWriter sw3 = new StreamWriter(filename3);
                StreamWriter sw4 = new StreamWriter(filename4);
                StreamWriter sw5 = new StreamWriter(filename5);
                StreamWriter sw6 = new StreamWriter(filename6);
                StreamWriter sw7 = new StreamWriter(filename7);
                StreamWriter sw8 = new StreamWriter(filename8);
                StreamWriter sw9 = new StreamWriter(filename9);
                StreamWriter sw10 = new StreamWriter(filename10);
                //Read the first line of text

                StringBuilder sb = new StringBuilder();     //定义
                sb.Clear();

                while (!sr.EndOfStream)
                {
                    //lstchar2 = lstchar1;
                    //lstchar1 = currentChar;
                    string readlinest = sr.ReadLine();
                    byte[] charArray = Encoding.Default.GetBytes(readlinest);
                    sb.Append(readlinest);
                    if (charArray.Count() > 0)
                    {
                        if (charArray[charArray.Count() - 1] == 0x3b)
                        {
                            line = sb.ToString();
                            sb.Clear();     //清空
                            linenum++;
                            if (linenum % 100 == 0)
                                Console.WriteLine("Line:" + linenum.ToString());
                            //清空前处理
                            if (block == 0)
                                sw1.WriteLine(line);
                            else if (block == 1)
                                sw2.WriteLine(line);
                            else if (block == 2)
                                sw3.WriteLine(line);
                            else if (block == 3)
                                sw4.WriteLine(line);
                            else if (block == 4)
                                sw5.WriteLine(line);
                            else if (block == 5)
                                sw6.WriteLine(line);
                            else if (block == 6)
                                sw7.WriteLine(line);
                            else if (block == 7)
                                sw8.WriteLine(line);
                            else if (block == 8)
                                sw9.WriteLine(line);
                            else if (block == 9)
                                sw10.WriteLine(line);
                            if (linenum > 50)
                            {
                                if (block < 9)
                                {
                                    linenum = 0;
                                    block++;
                                }
                            }
                        } 
                    }
                    
                }
                sw1.Close();
                sw2.Close();
                sw3.Close();
                sw4.Close();
                sw5.Close();
                sw6.Close();
                sw7.Close();
                sw8.Close();
                sw9.Close();
                sw10.Close();
                Console.WriteLine("Final Line:" + linenum.ToString());
                while(true);
               
                
            }
            catch (Exception e)
            {
                Console.WriteLine("Exception: " + e.Message);
            }
            finally
            {
                Console.WriteLine("Executing finally block.");
            }
     
           // */
            while(true);
        }

拆成50MB左右的文件后就可以使用notepad打开了,打开后根据每一条的重要程度选择性恢复,这里的回复只能自己手动回复的,具体的办法是将里面损坏的部分删除后,手动对齐格式,把剩余能插入的数据再执行插入回数据库中。是一个手工的水磨细活。

4 总结

全部恢复耗时两个人24小时通宵解决了,尽可能的减少了勒索病毒对公司的影响。

勒索病毒是对公司的损失是重大的,本次勒索病毒我们自己总结如下经验

1,首先杀毒系统要装,有钱就买个卡巴斯基装上(淘宝有便宜的),没钱装一个360,一定要有杀软

2,内网别偷懒,该划分vlan就划分vlan,至少能做好数据隔离

3,核心数据库资产一定要做一个云端备份,可以用阿里云或者腾讯云的付费产品,不要迷信本地备份,我们就是本地备份顺着共享文件夹全部一锅端了,三个备份机制全部失效。

4,如果真的依靠本地备份,就在vm exsi中做镜像级别的备份,这个备份不会被干掉,反之所有的windows级别的备份都会被勒索病毒干掉。

你可能感兴趣的:(数据库,c#)