Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: 1 2      [все]
 Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
mario2101
Member

Откуда:
Сообщений: 4
Всем здравствуйте! Ситуация обескураживающая, в результате полного бардака с ИТ-инфраструктурой на предприятии произошел инцидент. Сервер с базой 1С на MSSQL был взломан по rdp путем подбора пароля и зашифрован шифровальщиком, в разных антивирусных техподдержках ответили что алгоритм криптостойкий и дело труба. Злоумышленники сами не отвечают толком. Бекапы базы делались на том же сервере и также пошифрованы. Чудом сохранилась файловая база которую сливали аудиторам 9 месяцев назад, ее удалось развернуть на новом сервере, это конечно лучше чем ничего, но... Возникла мысль скачать шифрованную базу и сменить у нее расширение, и попробовать присоединить, на что студио ответила что данный файл не является базой данных. Далее было использовано две сторонние программы, это diskinternals MSSQL Recovery и Recovery Toolbox for SQL Server, обе демо-версии. Обе программы отсканировали файл и нашли в нем таблицы, первая показывает даже данные, но не понятно - полностью целые или нет, кроме таблиц больше ничего не показывает, там есть пункты Stored procedures, Foreign keys, Triggers, Functions, views, и т.д., в них ничего не раскрывается. Вторая выдает ошибки при попытке просмотра записей. Сохранить или экспортировать демо-версия не дает. И не известно корректно ли сохранится база если даже будет не демо-версия программы. Кроме того, как потом даже если бы и создался файл mdf его прикрутить на сервер без ldf файла и помогла бы как-то в этом ненаполненная на столько же содержимым старая версия этой базы, уже развернутая на сервере? Я в базах полный ноль, даже 1С никогда до этого не занимался, сервер поднять помогли, базу подключил по руководствам для чайников с инета, так же по руководствам пытаюсь настроить резервное копирование, это применительно к старой базе, если все же придется ее наполнять по новой, но теплится надежда что как-то можно восстановить зашифрованную. Может стандартными средствами менеджмент студио как-то можно это сделать, распознать базу, я не знаю ее возможностей.
14 дек 18, 18:35    [21764346]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
court
Member

Откуда:
Сообщений: 2339
mario2101
Кроме того, как потом даже если бы и создался файл mdf его прикрутить на сервер без ldf
файла
это решаемо

mario2101
Далее было использовано две сторонние программы, это diskinternals MSSQL Recovery и Recovery Toolbox for SQL Server, обе демо-версии. Обе программы отсканировали файл и нашли в нем таблицы, первая показывает даже данные
Но это же НЕ дешифровщики !
Это программы восстановления "битых" баз.
Так что если вы в самом деле видите какие-то свои данные, то шифрование тут не причём, а база "просто" повреждена ... нуу, хотя в этом тоже хорошего мало ...
14 дек 18, 18:50    [21764359]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
PizzaPizza
Member

Откуда:
Сообщений: 430
mario2101
Обе программы отсканировали файл и нашли в нем таблицы, первая показывает даже данные


Есть вариант, что шифровальщик зашифровал только часть, например заголовок файла. Это нормальная практика для них, так как быстрее и поэтому сложнее обнаружить их действия при больших объемах.
14 дек 18, 18:58    [21764366]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
court
Member

Откуда:
Сообщений: 2339
mario2101,

навсякий,
думаю, что 149$ у "предприятия", экономящего на админе, должно уже "накопиться" :)
но, вроде как там и триальный период какой-то был ...
https://sql.recoverytoolbox.com/ru/
14 дек 18, 19:00    [21764369]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
mario2101
Member

Откуда:
Сообщений: 4
court,
Админ занят офисной работой не по специальности 95% времени и за 10 лет растерял все навыки.

Эта программа вторая из тех что я попробовал, она ошибки в записях показывает и при попытке восстановления просит купить ее.

PizzaPizza,

Как мне тогда попробовать поступить с этим файлом, сравнить его заголовок и заголовок восстановленной из .dt базы в каком-нибудь hex-редакторе?
14 дек 18, 19:16    [21764380]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
vikkiv
Member

Откуда: EU
Сообщений: 2956
Верно выше говорят - для того чтобы восстановить (сторонними программами) или присоединить базу: нужно сначала дешифровать файлы (т.е. покупка указанного софта по восстановлению баз не пока обоснованна)

Можно попробовать поискать ключ в той-же системе или вытащить из программы-шифровальщика (вируса, как минимум алгоритм) или если есть история трафика/пакетов - половить там (они пересылают ключи обратно для сценария по откупу)

На моей практике CIO решил оплатить рекетёрам и данные удалось восстановить (но в большинстве случаев - жалуются что кидают и тут, т.е. после перечисления денег - решения не поступает, т.е. ситуация только ухудшается)

Зато такие инциденты стимулируют лучшую дисциплину и организованность процессов в сторону приведения к соответствию к современным стандартам информационной безопасности (от нормальных бэкапов, правильного разграничения прав пользователям и до фаерволов, бюджетов, и пр.)

в любом случае три/четыре сценария:

- оставить как есть (закрыть глаза на потерю, и начать по новой) или искать выжившую копию

- нанять специалиста/программиста по декриптованию для решения своими силами (разобрать вирус, определить алгоритм, взять файл поменьше с известным содержанием и начать искать/подбирать {если он один на всё} ключ/-и на железе помощнее/или кластере серверов даже с перераспределением нагрузки на графические процессоры), благо расчётные мощности нынче ломают ключи простых алгоритмов довольно быстро

- выполнить требования третьей стороны (злоумышленников) и надеяться что они выполнят свои обещания по раскрытию ключа/алгоритма
14 дек 18, 19:19    [21764384]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
mario2101
Member

Откуда:
Сообщений: 4
vikkiv,

-единственная копия была у аудиторов, ее добивать - 9 месяцев работы.
-уже нанимали, получили видимость работы и нулевой результат, плюс все лаборатории (веб, каспер) которым были отосланы файлы говорят что расшифровать не смогут.
-с этими связались, диалог встал на стадии расшифровки пары файлов для проверки что они способны на это, файлы отправили, дальше тишина.

Контора неделю "стоит".
14 дек 18, 19:38    [21764388]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Eleanor
Member

Откуда:
Сообщений: 3386
mario2101
Злоумышленники сами не отвечают толком

Вообще не отвечают или хоть какая-то реакция есть?
Есть шифровальщики, которые вообще не предусматривают расшифровку. Поэтому злоумышленники перед переводом денег могут расшифровать вам 1 файлик в качестве демонстрации. Можно попросить расшифровать бэкап одной из важнейших БД. А по остальным файлам и деньгам пусть руководство решает.
14 дек 18, 19:44    [21764391]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
PizzaPizza
Member

Откуда:
Сообщений: 430
mario2101
PizzaPizza,

Как мне тогда попробовать поступить с этим файлом, сравнить его заголовок и заголовок восстановленной из .dt базы в каком-нибудь hex-редакторе?


Я не знаком со структурой mdf файлов. Вам нужен человек, который знаком и сможет сказать есть ли способ восстановления неповрежденной части базы. По сути вопрос в том, есть ли уникальная структурная информация в файле, при повреждении которой весь файл восстановить нельзя.
Если же условно говоря их отдельного экстента/страницы можно вынуть запись/записи таблицы, то я думаю должен быть софт или специалисты способные это выбрать из вашего файла.
14 дек 18, 20:30    [21764418]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Не факт что файл зашифрован, может просто испорчен, какая злоумышленникам разница можно ли эти данные восстановить или нет.
vikkiv
Верно выше говорят - для того чтобы восстановить (сторонними программами) или присоединить базу: нужно сначала дешифровать файлы (т.е. покупка указанного софта по восстановлению баз не пока обоснованна)
Учитывая то, что этот софт видит там таблицы и данные значит файлы были зашифрованы/испорчены только частично, так что лучший шанс восстановить хоть что-то это таки купить программу (150 баксов не огромные деньги) и посмотреть что она может восстановить. Может быть попробовать запустить ее бэкапах?
vikkiv
Можно попробовать поискать ключ в той-же системе или вытащить из программы-шифровальщика (вируса, как минимум алгоритм)
Если там реально шифрование и этот софт писали не школьники, то вы знаете что такое открытый/закрытый ключ? Расскажите мне алгоритм получения закрытого ключа по открытому без использования квантового компьютера?
14 дек 18, 22:45    [21764511]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
PizzaPizza
Я не знаком со структурой mdf файлов. Вам нужен человек, который знаком и сможет сказать есть ли способ восстановления неповрежденной части базы. По сути вопрос в том, есть ли уникальная структурная информация в файле, при повреждении которой весь файл восстановить нельзя.
Если же условно говоря их отдельного экстента/страницы можно вынуть запись/записи таблицы, то я думаю должен быть софт или специалисты способные это выбрать из вашего файла.
Те программы за которые автор не хочет платить собственно это самое и делают - выдирают данные из испорченных файлов. Или вы думает кто-то будет вручную в hex редакторе данные копировать? Тогда уж дешевле и быстрее будет перенабрать 9 месяцев.
14 дек 18, 22:49    [21764512]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
Mind
Учитывая то, что этот софт видит там таблицы и данные значит файлы были зашифрованы/испорчены только частично, так что лучший шанс восстановить хоть что-то это таки купить программу (150 баксов не огромные деньги) и посмотреть что она может восстановить. Может быть попробовать запустить ее бэкапах?
Если видит не все таблицы/данные, то лучше не пытаться, ибо что потом делать с такой "частично заполненной" базой???

ИМХО если бакапов нет, то только набирать заново. Должна же быть какая то плата за "полный бардак в ИТ", или, скорее, бардак в топ-менедменте, ну вот, это она и есть.
14 дек 18, 23:05    [21764517]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
PizzaPizza
Member

Откуда:
Сообщений: 430
Mind
Те программы за которые автор не хочет платить собственно это самое и делают - выдирают данные из испорченных файлов. Или вы думает кто-то будет вручную в hex редакторе данные копировать? Тогда уж дешевле и быстрее будет перенабрать 9 месяцев.


Я сталкивался только с восстановлением ФС (что конечно родственник ДБ) и знаю про довольно специфичные самописные инструменты, которыми пользуются специалисты по восстановлению. Думается мне, что это типа скрипты, которые можно заточить под конкретную задачу и получить более качественное восстановление. Наверняка есть люди, которые специализируются на этом. Вопрос цены данных, конечно. Если проще перебить все заново, то вопрос решается административно, путем перераспределения зарплаты от виновников торжества к тем, кто будет все это богатство перебивать обратно в базу.
14 дек 18, 23:18    [21764529]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7542
mario2101
Сервер с базой 1С на MSSQL был взломан по rdp
Интересно, рдп уже закрыли?=)
14 дек 18, 23:18    [21764532]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
alexeyvg
Mind
Учитывая то, что этот софт видит там таблицы и данные значит файлы были зашифрованы/испорчены только частично, так что лучший шанс восстановить хоть что-то это таки купить программу (150 баксов не огромные деньги) и посмотреть что она может восстановить. Может быть попробовать запустить ее бэкапах?
Если видит не все таблицы/данные, то лучше не пытаться, ибо что потом делать с такой "частично заполненной" базой???
Возможно это поможет перенабрать данные быстрее? Если поврежден только заголовок, то может быть оно сможет восставить все данные. Опять же, ну допустим получите вы путем каких либо манипуляций mdf файл который можно присоединить, а дальше что? Это может быть такая же "частично заполненная" и местами сломанная база. Молимся что DBCC отработает без ошибок, а если нет? В любом случае набирать заново.
14 дек 18, 23:23    [21764538]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7542
автор
Бекапы базы делались на том же сервере и также пошифрованы.
Продвинутые шифровальщики. Знают даже, где у сиквела бекапы лежат.
14 дек 18, 23:24    [21764539]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7542
А вообще не понятно технически. Сиквел открывает файлы в монопольном режиме. Их не то, что зашифровать, прочитать нельзя. Или шифровальщики и сиквел положили перед этим? Для этого нужно привелегии админа, а не просто заход по рдп. Много вопросов, не свои ле?
14 дек 18, 23:28    [21764541]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Relic Hunter
автор
Бекапы базы делались на том же сервере и также пошифрованы.
Продвинутые шифровальщики. Знают даже, где у сиквела бекапы лежат.
Там кто-то по rdp подключился. Они явно знали что делают.
14 дек 18, 23:29    [21764544]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Mind
Member

Откуда: Лучший город на Земле
Сообщений: 2322
Relic Hunter
А вообще не понятно технически. Сиквел открывает файлы в монопольном режиме. Их не то, что зашифровать, прочитать нельзя. Или шифровальщики и сиквел положили перед этим? Для этого нужно привелегии админа, а не просто заход по рдп. Много вопросов, не свои ле?
Ага. Есть вероятность. Только может они так зашифровали, что теперь сами расшифровать не могут :-)
Да и вообще, неужели там все так плохо, что можно из интернета напрямую залогиниться на машину с sql сервером?
14 дек 18, 23:32    [21764545]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7542
Mind
Relic Hunter
пропущено...
Продвинутые шифровальщики. Знают даже, где у сиквела бекапы лежат.
Там кто-то по rdp подключился. Они явно знали что делают.
И хто рдп выставил наружу? Не могу даже такое представить технически? На фаерволе открыть порты рдп руками??? Вход в локалку должен быть только по VPN.
14 дек 18, 23:33    [21764547]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7542
Relic Hunter
И хто рдп выставил наружу?
Вот и ищите, кто это сделал. Технологии здесь не дорогие =)
14 дек 18, 23:38    [21764550]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Eleanor
Member

Откуда:
Сообщений: 3386
Relic Hunter
А вообще не понятно технически. Сиквел открывает файлы в монопольном режиме. Их не то, что зашифровать, прочитать нельзя. Или шифровальщики и сиквел положили перед этим? Для этого нужно привелегии админа, а не просто заход по рдп. Много вопросов, не свои ле?

Как вариант, это кто-то с админскими правами запустил файл с вирусом. В таком, естественно, никто не признается. Да и судя по бардаку, имеющих необходимые права на сервере БД, в компании может быть много.

Вирус перегружает машину, что решает проблему с доступом к файлам, и начинает их шифровать. Чтобы не шифровать всё, что есть в системе, используется список расширений наиболее болезненных для пользователей файлов: mdf, sql, ora, xlx, doc и т.д.
Общий принцип несколько раз описали во время прошлогодних эпидемий шифровальщиков, например про "Петю".
15 дек 18, 01:04    [21764601]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
mario2101
Member

Откуда:
Сообщений: 4
Rdp был выставлен наружу одинэсником, который устанавливал сервер под ключ, он же и подключался и администрировал 1с, были еще учетки с админ. правами, судя по журналу событий безопасности с вечера до 6-и утра был активный подбор по именам пользователя, "аудит отказа" каждые несколько сек, потом "успеха" по пользователю с админ. правами, не по моему и не по одинэснику. Возможно пароль был слабый, одинэсник пол года как уехал в другой город и подключался удаленно только чтоб обновить свою программу, про пользователя он молчит.

SQL и 1С были на одном сервере, не зашифрованы на котором остались только файлы txt и системные программы, типа консоли администрирования, проводника, и.т.п. даже ярлыки в меню пуск зашифрованы и программы приходится запускать из поиска. Еще в локалке два компьютера были включены, все их сетевые общие ресурсы тоже шифрануло, т.к. на них были смонтированы сетевые диски из папок на сервере, и похоже под тем самым пользователем.
15 дек 18, 11:43    [21764695]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Eleanor
Member

Откуда:
Сообщений: 3386
mario2101
Еще в локалке два компьютера были включены, все их сетевые общие ресурсы тоже шифрануло

Можно сказать, повезло, отделались малой кровью, раз всего 2 компьютера было включено.
В середине рабочего дня, когда у всех всё включено, легло бы вообще всё, включая филиалы.

Чем радуют в такой ситуации антивирусы, так это тем, что никак не реагируют (если новая модификация шифровальщика).
Максимум, сообщение на экран выведут, что что-то не так, а потом машина благополучно идет в ребут и зашифровывается. Либо пользователь, видя сообщение, сам успевает выключить машину и сохраняет все свои данные.

На будущее можете предложить руководству закупить ленты для бэкапов, туда шифровальщики не пройдут. Последнее время для распространения они использовали smb, wmi.
15 дек 18, 15:43    [21764835]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
Mind
alexeyvg
Если видит не все таблицы/данные, то лучше не пытаться, ибо что потом делать с такой "частично заполненной" базой???
Возможно это поможет перенабрать данные быстрее? Если поврежден только заголовок, то может быть оно сможет восставить все данные. Опять же, ну допустим получите вы путем каких либо манипуляций mdf файл который можно присоединить, а дальше что? Это может быть такая же "частично заполненная" и местами сломанная база. Молимся что DBCC отработает без ошибок, а если нет? В любом случае набирать заново.
Да, я и говорю, надёжнее перенабрать заново.

Тут важно, что хотя есть вероятность, что базу получится восстановить, но вероятность эта не очень большая, а если не получится, то mario2101 уволят, потому что он заставил фирму потратить уйму денег. Вы же видите, как у него начальство относится к деньгам, лучше не проявлять ненужной инициативы.
mario2101
Rdp был выставлен наружу одинэсником
Даже не имеет смысла обсуждать такую мелочь.

Файлы на компе обязательно (гарантированно) исчезают, это такой же непреложный факт, как то, что солнце восходит на востоке.

И обсуждать нужно отсутствие бакапов, а не одну из тысячи причин, по которым исчезли файлы. Сегодня взломали РДП, завтра пожар, послезавтра вентилятор в сервере заклинило, через неделю админ случайно del нажал, какая разница, почему пропал файл?, даже не интересно.
15 дек 18, 18:18    [21764883]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Relic Hunter
Member

Откуда: AB
Сообщений: 7542
Зачем этот патетизм? Про бекапы никто не спорит, но их тоже зашифруют если злоумышленник получит полный доступ к сети. Не интересно, да.
15 дек 18, 22:16    [21765000]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
Relic Hunter
Зачем этот патетизм? Про бекапы никто не спорит, но их тоже зашифруют если злоумышленник получит полный доступ к сети. Не интересно, да.
Разве задача "что бы не зашифровали" хоть сколько то сложная для ит-шников? Очень легко решаемая, вообще говоря, нужно только желание.
И, как я понял, в данном случае бакапов вообще не было
16 дек 18, 00:42    [21765090]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Eleanor
Member

Откуда:
Сообщений: 3386
alexeyvg,

Бэкапы были
mario2101
Бекапы базы делались на том же сервере

Дилетантски, да. Но, даже если бы они делались на другой сервер, шифровальщик нашел бы их, если бы на них были смонтированы сетевые диски
mario2101
все их сетевые общие ресурсы тоже шифрануло, т.к. на них были смонтированы сетевые диски из папок на сервере

Банки не зря записывают бэкапы на ленты и перевозят в отдельное хранилище.
16 дек 18, 04:26    [21765149]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
rahzer
Member

Откуда:
Сообщений: 2308
автор
Бэкапы были

1) Бэкап, который делается на тот же сервер - это не бэкап
2) Бэкап, из которого нельзя восстановиться - это не бэкап

автор
Банки не зря записывают бэкапы на ленты и перевозят в отдельное хранилище.

Не так давно был случай, одна крупная компания в ПФО (не буду тут озвучивать название), делала все по фэнь-шую , бэкапы и на ленты, причем ленты дополнительно шифровались, вдруг если кто их сможет получить во время транспортировки или еще как..
Правда ключи были на рабочем компе, и когда вирусняк все зашифровал, включая ключи, то все бэкапы можно было выкидывать..
16 дек 18, 09:03    [21765169]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
Eleanor
alexeyvg,

Бэкапы были
Ой, пропустил эту фразу, каюсь.
Eleanor
mario2101
Бекапы базы делались на том же сервере

Дилетантски, да.
Изумительно. Я вот в своей работе считаю, что бакапа нет, пока бакап не восстановлен на другой сервер, и получившаяся база не проверена.
Eleanor
шифровальщик нашел бы их, если бы на них были смонтированы сетевые диски
mario2101
все их сетевые общие ресурсы тоже шифрануло, т.к. на них были смонтированы сетевые диски из папок на сервере

Банки не зря записывают бэкапы на ленты и перевозят в отдельное хранилище.
Ну вот, вы мнгновенно нашли решение - записать бакапы на ленту, и перевезти в другое помещение.
Если лента для небольшой фирмы слишком круто, то можно использовать съёмный диск.

Почему "банки"? А для парикхмахерской или торговой фирмочки это нереально дорого?
За 20 лет никогда в моей работе не было случая, что бы бакапы лежали на том же сервере, или на сетевом сервере с единой системой доступа.

Вариант с съёмными дисками доступен любой фирме, даже самой маленькой.

Но если фирма крупнее, есть вариант, например, с отдельным сервером для бакапа, который должен быть не в домене, и с доступом только по ФТП на добавление новых файлов.
Ну и куча других методов, вплоть до ленты.
Обязательно за бакапы должны отвечать другие подразделения, что бы ни в коем случае это не делал один человек. Потому что человек может ошибиться, и тогда ошибка может захватить все места хранения.
Ни в коем случае управление доступом к бакапам не делается централизованным, совместно с доступом для основных данных. Никаких общих доменов/деревьев AD!

Поэтому DBA делает и хранит бакапы для быстрого восстановления, другая команда копирует эти бакапы и организует их проверку и восстановление, плюс служба безопасности организует вывоз и складирование лент в другом месте.

Но это всё, повторю, для больших фирм.
Для микрофирмочек всё делается дешевле, и так же надёжно, как я писал выше.
16 дек 18, 11:56    [21765204]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
rahzer
Не так давно был случай, одна крупная компания в ПФО (не буду тут озвучивать название), делала все по фэнь-шую , бэкапы и на ленты, причем ленты дополнительно шифровались, вдруг если кто их сможет получить во время транспортировки или еще как..
Правда ключи были на рабочем компе, и когда вирусняк все зашифровал, включая ключи, то все бэкапы можно было выкидывать..
Вот это яркая иллюстрация повышения уязвимости при централизации ИТ.
Некоторые вещи должны быть разделены административно, в целях повышения катастрофоустойчовости.
Красиво и по феншую организованная инфраструктура рухнула из за одной мелкой ошибочки, из за того, что копия ключей не была записана на CD, сдаваемые на хранение.
Если бы запись и шифрование выполнялись бы другим изолированным подразделением, то такой проблемы бы не возникло.
Для больших, действительно больших компаний структурирование, обособление подразделдений выглядит легаси-бардаком, но в реальности повышает катастрофоустойчивость (и является единственным лекарством для этого).
16 дек 18, 12:09    [21765209]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
Eleanor
Member

Откуда:
Сообщений: 3386
alexeyvg
Ну вот, вы мнгновенно нашли решение - записать бакапы на ленту, и перевезти в другое помещение.

Не искала, просто везде, где работала, есть ленты.
От маленькой ленточной библиотеки, где информация записывается по кругу с глубиной хранения 1 месяц, до отдельного хранилища в другом офисе с 10-летним хранением всей информации.
И тотальный вирусный Blackout "посчастливилось" увидеть. Ни одна система в итоге ничего не потеряла, всё восстановили из бэкапов.
rahzer
Не так давно был случай, одна крупная компания в ПФО (не буду тут озвучивать название), делала все по фэнь-шую

Не, это не по фэнь-шую. У нас ключи шифрования в сейфе у безопасников лежат - вот это по фэнь-шую.
16 дек 18, 19:03    [21765467]     Ответить | Цитировать Сообщить модератору
 Re: Возможно ли восстановить базу из испорченного .mdf после шифровальщика?  [new]
alexeyvg
Member

Откуда: Moscow
Сообщений: 31912
Eleanor
rahzer
Не так давно был случай, одна крупная компания в ПФО (не буду тут озвучивать название), делала все по фэнь-шую

Не, это не по фэнь-шую. У нас ключи шифрования в сейфе у безопасников лежат - вот это по фэнь-шую.
В общем да, если какими то службами организовывается хранение бакапов, и бакапы зашифрованы, то логично, что бы эти службы хранили и пароли.

Собственно, я про это и пишу, что отдельная служба должна отвечать за хранение бакапов, и не "а нам дали такие файлы, мы ни при делах, что их оказывается нельзя расшифровать", а что бы они отвечали, что там есть база, которую они обязуются восстановить, если что. И подтверждать дееспособность руководителя этой этой службы внезапными учениями.
16 дек 18, 21:55    [21765540]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: 1 2      [все]
Все форумы / Microsoft SQL Server Ответить