Tags：

问题现象：2020年月5日，接到重庆客户求助，他们的ERP的服务器中了病毒，文件和应用程序都被改了扩展名，都被加上了一个以[squadhack@email.tg].Devos 结尾的命名，直接点击打开就弹出了其软件的打开方式。黑客留下的文件打开后的内容：


问题解决：和客户进行了初步的沟通，这个后缀的勒索病毒我们之前处理过，为了确认勒索病毒的程序没有变异，让客户将需要处理的加密后数据库文件FumaCRM8.mdf.id[C89ABDEB-2700].[squadhack@email.tg]通过邮箱发给了我们，第一时间进行了底层数据的分析，发现该勒索病毒的数据库文件加密不严重，文件头和文件尾部加密了部分数据，整体加密程度大概在1%左右。通过沟通，确定了修复的具体细节，由于影响了整个ERP系统的运行，通过加班加点，数据顺利修复成功。


此类勒索病毒属于：phobos家族 ，针对部分类型的数据库文件，暂时还可以进行修复，修复成功率大概在95%以上，可能存在部分数据的缺失。如果对数据100%恢复，一般只能通过解密。


防护建议：
1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括：
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。  



您的服务器不幸中了勒索病毒，第一时间断网，备份，联系我们：18910108696，王工，微信同号，同时，提供样本文件，可以qq或者微信，后者百度云。我们第一时间为您检查文件，确定处理方案。