Recovery Toolbox, il software per il recupero dati da Server SQL compromessi

L'epidemia di virus che criptano file per estorcere soldi agli utenti è da tempo un problema di caratura globale. Uno degli esempi più eclatanti, e fra i primi in assoluto, è stato WannaCry, rilasciato nel 2017. Poi sono arrivati cloni e versioni modificate. Qualora si rimanga coinvolti in un caso del genere, è difficile che si riesca a decriptare un file, anche pagando il riscatto.

L'unica opzione è trovare un programma capace di:

• Ripristinare dati da un backup
• Estrarre file dalle mail
• Cercare contatti e informazioni nei messaggi

Spesso l'opzione più efficace è ripristinare il database del server SQL dall'ultimo backup. Ma se non è possibile farlo? Cosa si può fare se il ransomware cripta anche il backup?

I cryptovirus, come molti altri malware, si diffondono a causa dei bug presenti su programmi, sistemi operativi o attraverso tecniche di ingegneria sociale. Ad ogni modo, gli stessi virus sono programmi, e hanno bug e vulnerabilità nascoste, e non sfuggono a questa regola i ransomware. Il codice presente deve criptare il maggior numero di file nella maniera più veloce possibile, e se per i file piccoli (come file Excel, Word, PowerPoint, Project, AutoCAD, CorelDRAW, e altri tipi di file dati) questo non è un problema, per i file di dimensioni maggiori, come FoxPro o database Microsoft Access, i malware riescono a cifrare solo l'inizio del file.

Questo offre una speranza aggiuntiva a chi vuole recuperarne il contenuto. I server SQL Microsoft memorizzano dati in file con estensione MDF e NDF. Le dimensioni di questi file possono essere molto elevate, soprattutto per i database di dimensioni importanti, raggiungendo anche diversi terabyte. Nella maggior parte dei casi, il virus cripta i dati di servizio, mentre le parti del file che contengono i dati rimangono decriptate.

Recupero dati da server SQL indiretto

Ma come è possibile leggerli? Come possiamo mettere assieme tutte le pagine e i blocchi di dati se le informazioni di servizio non sono più disponibili? Per far ciò sono richiesti strumenti sofisticati, quindi il passo successivo è cercare uno stumento che possa analizzare i dati nei file MDF e NDF, come ad esempio Recovery Toolbox for SQL Server (https://sql.recoverytoolbox.com/it/).

Si tratta di un software la cui prima versione è stata sviluppata 10 anni fa ed è capace di ripristinare dati dalla primissima versione di Microsoft SQL Server (6.5, 7.0, 2000) fino alle più recenti (2017, 2019).

Come recuperare un database del server SQL dopo l'attacco del virus Ransomware

Dato che Recovery Toolbox for SQL Server è stato sviluppato per un solo scopo (recuperare database di Microsoft SQL Server danneggiati), contiene un numero minimo di impostazioni. Lo strumento è realizzato sotto forma di assistente passo-passo, e a ogni passaggio l'utente esegue azioni semplici:

• Selezionare il file MDF criptato
• Scegliere un metodo di recupero e la destinazione per salvare i dati recuperati
• Scegliere i dati da salvare
• Iniziare recupero e backup

Nel passaggio iniziale, lo strumento legge e analizza il database del server SQL criptato, passaggio fondamentale nell'operazione che può durare a lungo nel caso di database di grosse dimensioni. Maggiori sono la dimensione e la complessità dei dati, maggiore sarà la durata dell'analisi. Nei casi più estremi possono essere necessarie anche più di 24 ore per elaborare l'analisi di file con dimensioni da 1 a 5TB.

Tutto quello che è stato ripristinato dal file MDF criptato viene presentato all'utente sotto forma di tabelle e liste dentro Recovery Toolbox for SQL Server. L'utente può navigare tra le pagine che contengono dati, tabelle, funzioni definite dall'utente e procedure.

Se il file MDF criptato è stato analizzato con successo, allora le liste e tabelle nella seconda pagina del programma non saranno vuote. Altrimenti, se il software non riesce a decifrare i dati presenti dal database, non ci sarà nulla da vedere. La versione demo di Recovery Toolbox for SQL Server è gratuita, e comprende la possibilità di eseguire l'analisi dei dati. Se si vogliono recuperare i dati del database si dovrà invece passare alla versione del software a pagamento.

Se l'analisi è positiva, infatti, si può scegliere come salvare i propri dati. Due le opzioni:

• Come script SQL in diversi file separati
• Esportandoli in un nuovo database Microsoft SQL Server

Attenzione: Quando si ripristina un database di un server SQL dopo l'attacco ransomware, c'è la possibilità di perdere una parte dei dati. Inoltre, l'integrità dei dati può essere compromessa. Come risultato, le chiavi primarie ed esterne probabilmente non funzioneranno. Si capirà al momento di eseguire gli script SQL con chiavi primarie o esterne dopo avere importato i dati nel database. Gli script con chiavi primarie o esterne non sono eseguiti o sono eseguiti con errori.

La sequenza di esecuzione degli scripts SQL mentre sono esportati nel nuovo database:

La sequenza di esecuzione degli script SQL viene presentata nel file Install.bat, che Recovery Toolbox for SQL Server salva nella cartella con tutti gli altri script SQL. Basta eseguire il file con i parametri necessari (Nome server, nome database, nome utente e password) nella linea di comando e potrebbe essere necessario eseguire lo script diverse volte per importare i dati nel database quasi completamente.

Come recuperare un database di Microsoft SQL Server Database dopo un attacco Ransomware

In breve, se un ransomware ha criptato un Microsoft SQL Server Database, allora è possibile provare a recuperarlo senza pagare con questi tre semplici passi:

• Recuperare i dati dal backup
• Estrarre dati dai file .MDF/.NDF usando Recovery Toolbox for SQL Server come script SQL
• Importare dati dagli scripts SQL dentro un nuovo database SQL