2021-09-17 北京某客户来电咨询说自己被勒索病毒攻击,所有用友数据库和谊风数据库被加密,加密文件后缀为.file。
经过客户同意,我们通过向日葵远程连接到客户的服务器上如下图
我们找到勒索病毒程序进程将其关闭,否则新添的文件都会被加密。
通过检测并且与客户沟通得知,客户需要恢复的文件有mssql数据库、sqlserver数据库、mdf文件、用友(15G超过5个账套)、谊风(1G以内,文件小数量多 超过5个文件)。
我们立刻组织工程师及安全专家对客户整个环境以及数据进行了底层分析。发现数据库超过30%以上的损坏,这种file后缀的勒索病毒加密方式比较复杂,最近我司接到了很多客户由于中了此种勒索病毒向我们寻求帮助,通过我们工程师的努力,成功帮助很多客户恢复出了数据,也让我们找到了这种病毒的解决方案。
跟客户沟通好恢复方案和恢复价格后,开始恢复数据
经过30个小时,数据完整恢复,附加数据库后DBCC CHECKDB 没有发现一致性错误和错误页。在用友和谊风软件厂商的支持下系统顺利运行。
友情提醒:
1:重要数据及时备份;
2:定时对自己的局域网进行漏洞扫描,安全检测,修补漏洞
3: 不要一码通杀,所有服务器都采用一样的登录账号和密码是相当危险的
4:远程桌面端口非必要不要打开,如果外部厂商需要协助可采用其他远程方式。
5:核心数据可安装我司防勒索病毒系统,详询客服。安装后保证不会中毒。