被bluesky加密後的科脈、用友時空、思訊等軟件數據庫恢復成功，不同於簡單的數據庫恢復軟件恢復，掌握核心恢復方法，恢復後數據庫不丟記錄，結構完整，可直接使用，大量真實成功案例，積累瞭豐富的恢復經驗，可快速恢復數據。

一，如何分辨bluesky 勒索病毒

被病毒加密後最顯著的特征是黑客留下的%DECRYPT FILES BLUESKY%.TXT的勒索信，內容如下圖：

bluesky勒索信

被加密後文件不一定會變帶上bluesky後綴，下列中分別是兩個案例，一個案例在被加密完後文件名被加上bluesk後綴，一個則沒有：

有勒索信但文件名沒改變a33308ed961490a6efdec2a13260ae76無勒索信文件名有後綴

二， bluesky勒索病毒文件分析

通過winhex工具來分析文件底層被破壞的情況，

1c3d568c4049710955cc1c90565ad2b3被加密後的文件底層

從上圖中可以看出，數據庫被加密的扇區數為32768，合計為16M，像這樣被加密的扇區還有很多段，這裡就不再截圖，這樣的加密方式，對數據庫造成的破壞是毀滅性的。如果隻是通過數據庫恢復軟件來恢復，會丟失很多記錄，恢復出來後數據庫結構也不完整。如果隻是通過數據庫恢復軟件來恢復，會發現恢復好的數據庫丟瞭很多記錄，結構也不完整，在SQL內查詢沒問題，但隻要一用在軟件上，就是各種報錯，不具備可用性。

三， bluesky勒索病毒是否可以恢復

在寫這篇文章這時，已經成功恢復五例真實案例，經過客戶上機驗證，記錄完整，數據庫庫結構完整，直接使用不報錯。

38e56d2ffb51cef4adac16430edac4d1數據驗證中驗證結果滿意

四，如何防范bluesky 勒索病毒

建議包括殺毒軟件部署和數據備份、網絡安全及密碼安全方面內容，可參考執行，我們也可以協助執行。

1，殺毒軟件部署：建議安裝火絨殺毒軟件，個人版本為免費軟件，安裝完成後可設置軟件的功能設置和退出密碼，密碼強度建議大小寫加特殊字符，密碼位數不小於16位。此功能可在黑客獲得系統管理員權限後，更改殺毒軟件設置和結束殺毒軟件進程時沒有密碼而不能改變設置和結束進程，隻要殺毒軟件進程還在運行，黑客的加密程序將無法拷貝到本地，即使拷貝到本地也不能運行。從而保護數據安全。

2，數據備份：數據庫建議進行定時的離線備份或異地備份。根據數據庫數據的顆粒度設置備份周期（每日、每三天、每周），並嚴格遵守。文件共享服務器可采用NAS（網絡附屬存儲）進行備份，可對重要文件夾進行差異備份，隻要此文件夾內文檔有改動，備份軟件便會對改動的文件進行備份。可設置全盤備份、某個目錄備份及整機備份。有效保證數據安全。雲服務器離線備份不方便，可在雲服務器端安裝百度網盤等工具，設置對重要文件所在的目錄進行定期備份，要註意的是密碼強度一定要高。

3，網絡端口安全：操作系統應開啟網絡防火墻，隻開放服務器向外提供服務的端口，其它端口一律關閉。一些常用知名端口可更改端口號再對外提供服務，如MSSQL 的常用端口號為1433，遠程桌面端口號為3389等，可將這類端口號更改為不常用的端口號，更改完成後隻要在配置服務時相應的配置便可。因為黑客常用的網絡掃描工具會針對知名端口號進行掃描，再根據端口的漏洞進行攻擊，攻擊成功後便可對機器進行加密。開放的端口越少，黑客可利用的就越少，系統就越安全。

4，密碼安全及系統更新：基本要求為所有的密碼都應設置大於16位的數據+字母（大小寫）+特殊符號的強密碼，如果有多臺服務器應為每臺服務器設置單獨的登錄密碼，防止黑客在成功爆破一臺服務器後把所有服務器被一鍋端。建議操作系統安裝windows 2016以上版本，並經常查看操作系統的更新功能，檢查發現有要安裝的補丁應及時更新，並留意微軟每個月的第二個星期二定期發佈系統更新補丁日，有涉及到的應及時更新。

做好以上四個方面可有效的提高數據及系統安全性，如果在實施過程中需要我們協助可隨時聯系我們。

五，是否有bluesky後綴的成功案例

近期已經成功恢復5例案例，已經積累瞭快速恢復的經驗，最快1小時內可完成恢復工作。