医院his服务器中了.happychoose勒索病毒怎么办

分享到:

2020-02-08 23:02:45

问题现象:2020年2月8日,接到四川客户电话求助,其通过朋友介绍,找到我们,其医院的多台服务器中了勒索病毒,服务器上所有文件都被篡改为happychoose后缀,导致其软件无法运行。

黑客留下的勒索信息如下:

ALL YOUR FILES ARE ENCRYPTED! ☠


ALL YOUR IMPORTANT DATA HAS BEEN ENCRYPTED.


To recover data you need decryptor.
To get the decryptor you should:

Send 1 test image or text file happychoose@cock.li or happychoose2@cock.li.
In the letter include YOUR ID (look at the beginning of this document).

We will give you the decrypted file and assign the price for decryption all files

 

After we send you instruction how to pay for decrypt and after payment you will receive a decryptor and instructions We can decrypt one file in quality the evidence that we have the decoder.
Attention!

  • Only happychoose@cock.li or happychoose2@cock.li can decrypt your files
  • Do not trust anyone happychoose@cock.li or happychoose2@cock.li
  • Do not attempt to remove the program or run the anti-virus tools
  • Attempts to self-decrypting files will result in the loss of your data
  • Decoders other users are not compatible with your data, because each user's unique encryption key
问题解决:
360给予的解决办法如下:
此类勒索病毒属于:GlobeImposter家族 ,目前暂时不支持解密
1.如果文件不急需,可以备份等我们出解密工具,出解密工具我们会通知
2.如果文件急需,可以自行联系黑客(有可能付款拿不到解密工具)或者第三方(价格高于黑客)。   
 
防护建议:
1.多台机器,不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性,并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制,并进行定期备份
4.定期检测系统和软件中的安全漏洞,及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括:
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件,并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件,如果已经被杀毒软件拦截查杀,不要添加信任继续运行。

客户初步尝试联系解密,但是索要价格过高,风险ou较大,客户无法承受价格。我们第一时间建立微信沟通群,客户最需要处理的是其系统的数据库文件,版本为sqlverver2012版本,数据库本身不大,我们通过底层分析,发现该勒索病毒对数据库只加密了文件头和文件尾 ,主要的数据可以提取。

比对主要的表数据都在,由于客户时间着急,通过加班加点,1天完美交付数据。

 
如果您的服务器不幸中了勒索病毒,请第一时间联系我们,紧急联系电话18910108696,微信同号,王工。一定不要着急格式化,否则可能数据不能找回。
声明:此篇为用友服务中心文章,转载请标明出处链接:
  • 相关文章
  • 热门下载
  • 数据修复
  • 热门标签
合作伙伴