Tags：wecanhelp，勒索病毒

问题现象：2019年11月15日，接到河南郑州的伙伴求助，其维护的客户的用友 U8服务器中了病毒，软件无法运行。通过进一步沟通，该服务器上除了exe等后缀的文件以外，其他所有的文件都被篡改了后缀，后缀都增加了id_115054083_.WECANHELP。


问题解决：通过沟通，判定是中了典型的勒索病毒wecanhelp。该后缀的勒索病毒的特点是感染速度很快，并且感染了国内很多家客户。通过之前对该病毒的处理经验，立即启动了数据修复应急方案。
1、建立客户沟通交流群：和客户确认感染的数据和需要处理的文件。该服务器主要是用友软件，着重分析查看其名下的数据库是否感染：结果是全部感染。
2、备份感染的重要的数据文件，将数据库打包，上传到百度云盘。
3、尝试寻找黑客留下的密钥文件temp00000.txt,但是发现被覆盖掉，无法找回密钥。
3、确定修复方案，拿到病毒文件后，第一时间确认感染的加密程度，无变异，和客户确定可以修复。
4、搭建用友的环境，开始修复数据。
5、完美修复后交付客户。


如果您的服务器不幸中了wecanhelp勒索病毒，请第一时间联系我们，数据修复服务专线：18910108696 微信同号