windows系统中毒，sql server数据库文件恢复抢救和OA程序文件恢复 _sql

背景：客户是地产行业客户，云服务器主要部署OA和sql server数据库，由于内部IT薄弱，没有做好安全防护，导致服务器被病毒入侵。
问题回顾：1：服务器遭受勒索病毒攻击，导致服务器OA文件和数据库文件被锁， OA网站无法打开，数据库表无法读取。
2：业务瘫痪期间，企业无法展开工作，对企业造成无法想象后果数据库文件一旦无法找回，整个部门甚至公司将因此停摆
3：同时D盘被勒索病毒加密，被加密文件无法使用
4：客户没有做任何备份措施，听到这个情况时，对此次事件不容乐观。
5：此情况下最常用的解决办法
5.1 寻找专业的第三方数据恢复公司，价格肯定不菲
5.2 向不法分子支付勒索费用，解锁被勒索文件，价格不菲的同时，助长不法分子的嚣张气焰
【windows系统中毒，sql server数据库文件恢复抢救和OA程序文件恢复】一场和时间赛跑，和勒索病毒做斗争的战斗已经打响，如何做到最快时间恢复业务，资金量投入最小，无不对运维人员的能力提出了很高的要求。
资产介绍：1：一台服务器中毒，系统是：windows server 2012 R2 。4核16G ， 500G硬盘
2：主要程序sql server 2008R2数据库，数据库量在100G以内
3：OA程序提供web访问
整个业务架构图：架构图非常简单，如图：

文章插图

排查思路：1：第一时间切断公网，避免服务器再和外界对接。再开台windows服务器，通过内网连接中毒服务器。
2：查看服务器受损程度，特别是OA和数据库文件。
OA服务无法打开，数据库无法打开。备份文件被锁死，我当时觉得情况已经非常严重。

文章插图

3：进一步查看sql server mdf文件是否正常。非常好， mdf文件并没有被勒索病毒加密。这为数据恢复奠定了基础。只能说，感谢勒索病毒手下留情了。

文章插图

4：接下来只要获取OA程序的数据，就可以复原客户的环境。OA厂商反馈， OA深层备份目录为：D:SeeyonA8baseupload

文章插图

此目录下，文件夹并没有被加密。看到这里，觉得喜出望外。
数据恢复：既然OA程序和数据库文件都在，可以动手进行源环境恢复。
1：准备纯净系统， windows2012 R2 ，手动部署sql server 2008R2 ，厂商重新部署OA 。
2：做好此初始环境的快照，避免后期问题，导致重装。
3：数据库mdf文件和OA程序文件，拷贝，查杀， md5值校验。
拷贝是直接远程拷贝的。
对mdf和OA程序文件进行病毒查杀，发现此文件并没有病毒，正常。
数据库sql mdf文件，拷贝前后md5值对比，确保数据库文件大小一致。
3.1 数据库mdf文件md5校验