O ransomware em SQL Server ataca o banco que sustenta ERPs, sistemas financeiros e operações inteiras. Além disso, ele criptografa os arquivos MDF e LDF, deixando a empresa sem acesso aos dados. Neste artigo, você vê como recuperar o banco sem pagar resgate.
Como o ataque atinge o SQL Server
O ataque tem um roteiro previsível. Primeiro, o malware para o serviço do SQL Server para liberar os arquivos. Em seguida, ele criptografa o MDF (dados), o NDF (secundários) e o LDF (log).
Contudo, o tamanho dos bancos joga contra o atacante. Um MDF de produção pode ter dezenas ou centenas de gigabytes. Por isso, o ransomware costuma criptografar apenas parte do arquivo.
A estrutura de páginas do SQL Server
O SQL Server organiza os dados em páginas de 8 KB. Cada página guarda linhas, índices ou metadados do banco. Dessa forma, quando só o início do MDF é embaralhado, a maioria das páginas permanece legível.
Assim, é possível varrer o arquivo e reconstruir tabelas página a página. Além disso, o LDF pode revelar transações recentes que ajudam na recuperação.
Recuperação por reconstrução forense
A Crowdertech reconstrói o banco a partir do que sobrou. Primeiro, identificamos as páginas íntegras e o esquema original. Depois, remontamos tabelas, chaves e objetos como procedures e views.
Essa é uma capacidade que pouquíssimas empresas no mundo dominam. De fato, já recuperamos bancos corporativos em cenários severos. E entregamos os dados sem negociar com criminosos nem pagar resgate.
Cuidados essenciais
Para não comprometer a recuperação:
- Não sobrescreva o MDF nem o LDF criptografados
- Não force reparos automáticos no arquivo afetado
- Preserve também os backups, mesmo que criptografados
- Acione especialistas antes de qualquer tentativa
Conclusão
O ransomware em SQL Server é grave, mas a estrutura de páginas torna a recuperação viável. Em resumo, preserve os arquivos e busque reconstrução forense. Precisa recuperar um banco SQL Server? A Crowdertech reconstrói MDF por engenharia reversa. Veja também ransomware em banco de dados.
Fontes: Microsoft — SQL Server · CISA StopRansomware.