节假日是勒索病毒趁虚而入的最佳时间点,中秋节过完,我司接到了大量的求助电话。
2021年09月20日,云天数据恢复中心接到上海某生产型企业客户的紧急求助电话:该公司的5台服务器受到勒索病毒攻击,服务器中的文件全被加密,其中包含该企业的用友ERP数据库、OA系统、设计图纸等重要数据。
经过客户同意,我们通过向日葵远程连接到客户的服务器,该客户所中病毒属于Zeppelin家族勒索病毒,该病毒针对欧洲和美国的医疗、IT公司,是VegaLocker/Buran勒索病毒的新变种。勒索信如下:
我们首先对数据进行了底层分析,初步了解了数据库的损坏情况和修复的工作量,在与客户沟通后,了解了客户需要恢复的文件,我们也给出了报价,客户同意,并要求我们上门恢复。
我们立刻组织工程师前往该企业,到达现场后立刻对客户受损的30余个SQL Server数据库的mdf文件进行手工修复,其中最大的单个数据库数据量近150G,处理难度极大,经过我们的工程师和用友的工程师积极配合,用时两天,完美修复了数据库。
同时用友工程师搭建了用友ERP软件测试环境,由客户当场验证数据有效性后,将数据库完整交还客户。
友情提醒:
1:重要数据及时备份;
2:定时对自己的局域网进行漏洞扫描,安全检测,修补漏洞
3: 不要一码通杀,所有服务器都采用一样的登录账号和密码是相当危险的
4:远程桌面端口非必要不要打开,如果外部厂商需要协助可采用其他远程方式。
5:核心数据可安装我司防勒索病毒系统,详询客服。安装后保证不会中毒。
