Может ли вымогатель зашифровать подключенную базу данных SQL? гипотетический

Question

На нашей сегодняшней встрече с персоналом всплыла тема c восстановления базы данных после возможной атаки вымогателей. Вопрос в том, что можно даже зашифровать подключенную, используемую базу данных. Даже если никакие действия не выполняются, если они смонтированы, файлы заблокированы и не могут быть изменены вне экземпляра. Правильно?

Если бы это было возможно, было бы успешным полное резервное копирование базы данных, если она была зашифрована, или она будет считаться поврежденной. Если я использую SQL шифрование сервера, я могу выполнить резервное копирование базы данных, поэтому при шифровании она пропускает заголовки? В итоге, насколько «рискуют» мои базы данных для вымогателей?

Answer 1

Всегда существует вероятность того, что вымогатель атакует сервер резервного копирования, поэтому такие вещи, как автономное хранилище носителей для резервного копирования, имеют решающее значение (или облачное хранилище).
Если обычный вымогатель атакует файлы данных, вы получите доступ, контрольную сумму или TDE ошибки неизбежны. Если это влияет на файлы журналов, он должен быть найден последним во время следующего резервного копирования журнала.

Но теоретически возможно, что вымогатель вставит себя в качестве драйвера диска и расшифрует все чтения на лету до перезапуска сервера или некоторого определенного c момента времени (например, настройка BitLocker с ключом, хранящимся где-то доступным только для создателя вымогателей).
В этом случае отправка резервной копии напрямую в облако или на отдельный сервер резервного копирования должна быть действительной, так как на сервер резервного копирования это не влияет.