被勒索病毒.weax攻击后,回滚的数据可能包含病毒吗?
被勒索病毒.weax攻击后,回滚的数据可能包含病毒吗?
会,但取决于你回滚的是什么,以及回滚点是什么时候生成的。
结合你之前的情况(Windows Server、MSSQL、被 .weax/.rox 类勒索软件攻击,没有可用数据库备份),可以分几种情况:
情况一:回滚到感染前的系统快照(最安全)
如果快照是在病毒进入服务器之前创建的,那么:
这是最理想的恢复方式。快照本质上保存的是当时整个系统的状态。
⸻
情况二:回滚到病毒已经存在,但还没开始加密的时候(有风险)
很多勒索软件不会一运行就加密,而是会先:
如果快照是在这一阶段生成:
那么回滚以后:
这种情况是最危险的。部分攻击者甚至会故意潜伏一段时间再执行加密,以增加备份也被污染的概率。
⸻
情况三:只恢复数据库(MDF、BAK)
如果只是恢复:
一般来说:
数据库文件本身通常不会”携带病毒”。
勒索软件绝大多数只是:
不会把自己的可执行代码写进 MDF。
但是要注意:
数据库里的业务数据可能本身存有恶意内容,例如:
这些属于业务数据,不是数据库感染了病毒。
⸻
情况四:恢复整个系统镜像
如果恢复的是:
那恢复出来的就是当时整台机器。
如果当时已经中毒:
恢复出来以后:
甚至联网以后还会继续执行。
⸻
如何判断回滚点是否安全?
通常建议检查:
最好在断网环境中完成这些检查,确认没有残留恶意程序后再重新联网。
⸻
针对 Weax 勒索病毒
如果你说的是 Weax 勒索软件,那么我建议采取一个原则:
不要直接相信任何攻击发生后的回滚点。
因为无法确定:
只有能够确认是在攻击者入侵之前创建的快照或备份,才可以认为恢复后基本不会包含勒索程序。
⸻
如果你的服务器是 Windows Server,可以告诉我:
我可以根据具体类型告诉你恢复后病毒残留的概率,以及恢复后建议执行的安全检查步骤。