2021年9月11日浙江某集团客户用友NC服务器被勒索病毒攻击,所有NC账套全部被加密为后缀为elder的文件。如下图
该企业员工数超过5000人,在全国有多个生产中心,严重依赖于NC的数字化管理,从上图可以看到采用的是MSSQL数据库,数据库总量超过700G,客户为了提高数据库的读写性能将数据库拆分成多个NDF文件,单个数据库NDF文件超过40G。 经朋友介绍联系我们。我们立刻组织工程师及安全专家对客户整个环境以及数据进行了底层分析。因为之前处理过很多此类PHOBOS的勒索病毒。20分钟后确定数据可以恢复,唯一的难题是客户给的最多恢复时间仅有2天。700多G的库在2天内完整恢复,并保证系统能正常运行,是有巨大技术难度的。
因为之前处理过这种大型数据库的经验,也配备了相当算力的设备。直接将恢复方案和恢复费用跟客户沟通后,当天晚上开工恢复。
经过42个小时,数据完整恢复,附加数据库后DBCC CHECKDB 没有发现一致性错误和错误页。在用友软件厂商的支持下系统顺利运行。
友情提醒:
1:重要数据及时备份;
2:定时对自己的局域网进行漏洞扫描,安全检测,修补漏洞
3: 不要一码通杀,所有服务器都采用一样的登录账号和密码是相当危险的
4:远程桌面端口非必要不要打开,如果外部厂商需要协助可采用其他远程方式。
5:核心数据可安装我司防勒索病毒系统,详询客服。安装后保证不会中毒。