目录

前言：案例简介

一、什么是.520勒索病毒？

二、中了.520后缀勒索病毒的数据文件怎么恢复？

三、恢复案例介绍：

1. 被加密数据库情况：

2. 数据库修复完成情况：

3. 数据恢复工期

前言：案例简介

近日，91数据恢复接到国内很多家企业的求助咨询，均是业务服务器的数据库被加密需要恢复。该病毒针对业务软件的数据库加密速度快，加密扇区多，导致很多企业的业务数据库严重受损，接下来我们看看其中一个客户的恢复案例。

AH某公司的服务器遭遇了.520勒索病毒后缀的攻击，公司数据存储的服务器上所有数据被加密锁定，包括思迅软件数据库文件在内的所有文件后缀均被改为.520后缀，导致目前公司业务无法运行，该公司找到91数据恢复，希望可以帮忙恢复4个思迅软件的数据库文件，不需要恢复其它文件。

经过91数据恢复工程师的检测分析加密数据库，制定了相应的数据库恢复方案，该公司当天立即下单进行恢复，91数据恢复工程师团队通宵进行恢复施工，整个数据库的恢复过程共花费22个小时，最终完成了数据恢复工作，并成功恢复了100%+的数据库数据量，获得客户高度满意的评价。

一、什么是.520勒索病毒？

.520勒索病毒是一种基于.fil勒索病毒e升级的文件加密病毒。它使用感染性注入算法感染系统。该算法针对文件锁定。一旦锁定，文件将具有扩展名“。名为“.520”。例如，文件名为“1.jpg”。感染后，该文件将被命名为“ 1.jpg.520”。扩展名是关于文件感染的标记。

.520勒索病毒以一种或另一种方式进入计算机后，它将更改Windows注册表，删除卷影副本，打开/写入/复制系统文件，产生在后台运行的factura.exe进程，加载各种模块等。

加密数据后，.520勒索病毒还与Command＆Control 服务器联系，为每个受害者发送一个RSA私钥（解密文件时需要使用它）。最终，该恶意软件会加密图片，文档，数据库，视频和其他文件，仅保留系统数据，还有其他一些例外。

所以感染了这个勒索病毒的数据库文件因为加密扇区较多而单独修复提取效果不理想，只能做解密方式恢复，解密恢复率相比修复方式的优势是可以100%完美恢复，但是同样解密恢复的成本费用也比单独修复方式的成本费用较高。

总的来说，也就是说这个勒索病毒的数据库加密文件，mdf、bak、dbf、dmp之类数据库的解密恢复可以完美100%恢复，所以建议不要放弃。

二、中了.520后缀勒索病毒的数据文件怎么恢复？

此后缀病毒文件由于加密算法问题，每台感染的电脑服务器文件加密密钥都不一样，需要独立检测与分析中毒文件的病毒特征与加密情况，才能确定最适合的恢复方案。

针对受感染的金蝶软件、用友软件、管家婆、ERP软件等软件的数据库均可完美恢复。

考虑到数据恢复需要的时间、成本、风险等因素，建议如果数据不太重要，建议直接全盘扫描杀毒后全盘格式化重装系统，后续做好系统安全防护工作即可。如果受感染的数据及数据库确实有恢复的价值与必要性，可添加我们的技术服务号（sjhf91）进行咨询获取数据恢复的相关帮助，但是千万不要擅自对感染的数据库文件进行篡改及尝试恢复操作，这将会导致数据库文件永久损坏而无法恢复。

三、恢复案例介绍：

1. 被加密数据库情况：

4个思迅软件数据库文件，sql数据库，数据库总大小为2.7G。

2. 数据库修复完成情况：

4个数据库文件修复完成，数据修复率100%，数据库完美附加可用。

3. 数据恢复工期

4个数据库文件，2.7G，耗时22小时。