2021年10月10日,我司接到苏州某服装连锁公司的求助电话,该客户称公司服务器被勒索病毒加密,服信通ERP系统的数据库文件被加上了一串后缀,后缀形式为id[xxxxxxxx-xxxx].[testtest808@tutanota.com].eight。
每个文件夹中有一个info.txt是它的勒索信,如下:
经过客户同意,我们远程连接到客户的服务器上,在客户的服务器上放了一个16进制编辑器,对被加密文件进行底层分析,由于对.eight这种后缀的勒索病毒已经非常熟悉,我们很快发现和我们之前处理过的类似勒索病毒加密方式差不多,我们确定可以恢复。
客户需要恢复的sql server数据库文件大小共有80G,其中单个文件最大有56G,工作量比较大,给客户报价后,客户接受,我们的工程师立刻开始对数据进行修复,恢复过程中非常顺利,耗时10小时,云天工程师加班完成工作,联系客户验证数据,服信通工程师在我们的机器上搭建好了环境,客户验证后没有任何问题,我们将数据交付给客户,客户的业务系统正常运行。
友情提醒:
1:重要数据及时备份;
2:定时对自己的局域网进行漏洞扫描,安全检测,修补漏洞
3: 不要一码通杀,所有服务器都采用一样的登录账号和密码是相当危险的
4:远程桌面端口非必要不要打开,如果外部厂商需要协助可采用其他远程方式。
5:核心数据可安装我司防勒索病毒系统,详询客服。安装后保证不会中毒。
