Tags：wecanhelp2@protonmail.com.wch，Pablolito56@criptext.com

问题现象：接到江苏某客户电话求助，其使用的OA系统的数据库（sql2008R2）被感染了勒索病毒，其文件被篡改成了【wecanhelp2@protonmail.com】.wch。系统无法进入。



问题分析：我们第一时间成立了数据紧急修复小组。底层分析数据文件，客户数据较大，达到了20G以上。发现该客户的数据被两个黑客加密了3次。通过解密渠道风险很大。除了wecanhelp2@protonmail.com】.wch后缀，文件的完整名称是NFOA_HuaChang.mdf.id-A2865772.[wecanhelp2@protonmail.com].wch.[Pablolito56@criptext.com][ID-AVPG3X7CO1UKTMY].Void.id-A2865772.[wecanhelp2@protonmail.com]，还被另外一个黑客Pablolito56@criptext.com攻入并且加密。存在多次加密情况。和客户进一步沟通，客户其他文件类型可以需要修复，主要就是数据库文件。底层提取分析，发现该数据库加密成都很小，可以尝试底层抽取数据的方式，完美修复数据。