La epidemia de virus que encriptan archivos y luego extorsionan a los usuarios ya se ha vuelto global. Uno de los primeros fue el virus WannaCry, lanzado en 2017. Le siguieron sus clones y modificaciones. ¿Qué sucede si sus archivos se vieron afectados por esta plaga? Es poco probable que pueda desencriptarlos, incluso después de pagar un rescate. La única opción es encontrar una solución y
- Restaurar los datos desde la copia de seguridad,
- Extraer archivos de los emails,
- Buscar contactos e información en los messengers.
¿Los desarrolladores de software tienen una solución al problema? Por ejemplo, ¿qué puede ofrecer Microsoft? La respuesta es NADA.
La opción más efectiva es restaurar la base de datos del SQL Server desde la última copia de seguridad. No obstante, ¿qué sucede si no puede restaurarse el servidor desde la copia de seguridad? ¿Qué hacer si el ransomware también encripta la copia de seguridad?
Bug del Virus Ransomware
Los virus se propagan debido a varios errores en los programas, sistemas operativos y a través de ingeniería social. Sin embargo, los virus son programas en sí mismos, por lo que también tienen errores y vulnerabilidades ocultas. ¿Qué vulnerabilidad o vulnerabilidades tienen los virus ransomware? El virus necesita rápidamente encriptar la máxima cantidad de archivos. Para archivos pequeños, tales como Excel, Word, PowerPoint, Project, AutoCAD, CorelDRAW, y otros archivos de datos, el proceso de encriptado es rápido. Cientos y miles de archivos se encriptan inmediatamente después de ser infectados. Sin embargo, ¿qué sucede si un virus encuentra un archivo grande, como por ejemplo, un FoxPro o una base de datos Microsoft Access? En este caso, el virus generalmente encripta el comienzo del archivo y pasa al siguiente, bien sea en la carpeta o en el disco.
Esta distinción da a los usuarios un poco de esperanza. Los SQL Servers de Microsoft almacenan datos en archivos con extensiones MDF y NDF. El tamaño de estos archivos son impresionantes: gigabytes y terabytes. Para su almacenamiento, se utiliza gran cantidad de espacio de disco, generalmente basados en controladores RAID. Cada archivo comienza con un encabezado pequeño, seguido de gran cantidad de información de servicio para un acceso rápido a los datos – información de servicio que describe los datos del usuario y similares.
En la mayoría de los casos, el virus encripta el bulto de datos de servicio en los archivos MDF y NDF, sin embargo, las páginas reales conteniendo datos en el archivo, permanecen sin encriptar.
Recuperación Indirecta de Datos del SQL Server
Si existen datos, ¿cómo leerlos? ¿Cómo reunir todas las páginas y bloques de datos si la información de servicio ya no está disponible debido a un ataque de virus? Se requieren herramientas sofisticadas para resolver una tarea que no es trivial.
Por lo tanto, el siguiente paso es buscar una herramienta (utilidad, servicio u otro método) que pueda analizar datos en archivos MDF y NDF; la utilidad de recuperación puede hacer esto para bases de datos dañadas de Microsoft SQL Server. Resuelven problemas similares, bajo las mismas condiciones iniciales, cuando falta, o se daña, parte del archivo de la base de datos.
La utilidad más accesible y simple para estos fines es Recovery Toolbox for SQL Server (https://sql.recoverytoolbox.com/es/). Recovery Toolbox for SQL Server fue desarrollado hace más de diez años y restaura datos de las primeras versiones de Microsoft SQL Server (6.5, 7.0, 2000) hasta los más recientes (2017, 2019).
Cómo Recuperar Bases de Datos del SQL Server Después de un Ataque por Virus Ransomware
Recovery Toolbox for SQL Server contiene un mínimo de configuraciones, por cuanto se desarrolló con un único propósito (recuperar bases de datos dañadas de Microsoft SQL Server). La utilidad está hecha como asistente paso a paso, y en cada etapa, el usuario realiza acciones simples:
- Seleccionar el archivo MDF encriptado.
- Escoger un método de recuperación y una ubicación para guardar los datos recuperados.
- Seleccionar los datos a guardar.
- Iniciar la recuperación de datos y la copia de seguridad.
En la etapa inicial, la utilidad lee y analiza, durante un largo período, la base de datos encriptada del SQL Server; esta etapa es la más crucial en la operación del programa. Cuanto mayor sea el tamaño del archivo fuente y más complejos sean los datos, mayor será el tiempo de ejecución del programa en esta etapa. Si un servidor potente estuviese disponible, el programa puedise tomar hasta un día para revisar archivos con tamaños de 1-5 Tb.
Todo aquello que se hubiese restaurado del archivo MDF encriptado, se le presenta al usuario en forma de tablas y listas convenientes dentro del Recovery Toolbox for SQL Server. El usuario puede navegar a través de páginas contentivas de datos, tablas, funciones definidas por el usuario y procedimientos.
Si el archivo MDF encriptado fuese analizado exitosamente, las listas y tablas en la segunda página del programa no estarán vacías. De lo contrario, no habrá nada que verse y, por lo tanto, no habrá necesidad de pagar en este caso, pues la versión DEMO de Recovery Toolbox for SQL Server es gratuita.
Si el análisis del archivo encriptado fuese exitoso, entonces deberá elegir cómo guardar los datos:
- Como scripts SQL en muchos archivos separados.
- Alternativamente, exportar datos a una nueva base de datos de Microsoft SQL Server.
Atención: al restaurar una base de datos del SQL Server después de un ataque de virus ransomware, existe la posibilidad de perder una parte de los datos; asimismo, la integridad de los datos puede verse comprometida. Como resultado, las claves Primarias y Foráneas probablemente no funcionen; esto se revela al ejecutarse los scripts SQL con las claves Primarias y / o Foráneas después de que los datos hayan sido importados a la base de datos. Los scripts con claves Primarias y / o Foráneas no se ejecutan o se ejecutan con errores.
La siguiente, es la secuencia de ejecución de los scripts SQL al exportar datos a una nueva base de datos:
Esta secuencia de scripts se presenta en el archivo Install.bat, la cual Recovery Toolbox for SQL Server guarda en la carpeta, junto al resto de los scripts SQL. Simplemente ejecute este archivo con los parámetros necesarios (Nombre del Servidor, Nombre de la Base de datos, Nombre del Usuario y Contraseña) en la línea de comando. Posiblemente deba ejecutar este script varias veces para completamente importar los datos a la base de datos.
Cómo Recuperar la Base de Datos de Microsoft SQL Server Después de un Ataque Ransomware
Si un virus ransomware encriptó su base de datos del SQL Server, puede intentar recuperar los datos sin tener que pagar. Para hacer esto, debe:
- Restaurar los datos desde la copia de seguridad.
- Extraer los datos de los archivos .MDF/.NDF usando Recovery Toolbox for SQL Server como scripts SQL.
- Importar los datos de scripts SQL a una nueva base de datos del SQL Server.