山东客户中了[data@recovery.sx].data勒索病毒成功修复

分享到:

2020-09-20 08:11:28

勒索病毒消停了一段时间后,最近有卷土重来。09月19日夜里11点左右,接到客户的紧急求助:其服务器中了勒索病毒,所有的文件后缀被篡改成了[data@recovery.sx].data后缀,所有应用系统均不能打开。客户尝试直接修改文件的后缀,重新尝试导入数据库,报错失败。



和客户沟通,这个后缀的勒索病毒出现的很少,为最新变种。留的信息有
YOUR FILES ARE ENCRYPTED
Don't worry,you can return all your files!
If you want to restore them, follow this link:email data@recovery.sx YOUR ID 70D3E3FB
If you have not been answered via the link within 12 hours, write to us by e-mail:data@recovery.sx
Attention!
Do not rename encrypted files. 
Do not try to decrypt your data using third party software, it may cause permanent data loss. 
Decryption of your files with the help of third parties may cause increased price (they add their fee to our) or you can become a victim of a scam. 

客户最重要的要恢复数据库文件SQL2008R2,和客户互加微信以后,由于客户的数据库非常大,达到30G,无法直接微信发送,后通过百度网盘传送,先检测了几个测试的数据库文件,发现该后缀的勒索病毒的数据库文件基本完整,加密程度很有限,迅速启动修复工作。

  1. 1、立即断网(拔掉网线或者关闭wifi)!关机、断网的目的是避免再次被攻击、二次加密,如二次加密将大大增加修复和解密难度,甚至无法修复或解密。

  2. 2、切莫慌张切勿乱操作(随意修改文件名、尝试杀毒软件查杀病毒、普通软件恢复、删除文件等),这样的操作很容易造成被加密的原始文件损坏,增加恢复难度甚至造成数据彻底无法恢复!

  3. 3、立刻备份!很多时候听到客户这样说“我的设备上数据太多了,备份太花费时间了”!殊不知,有了这个想法,潜在的威胁(文件被二次感染、系统宕机、无法开机、误操作删除了加密数据)就出现了!客户问我“没有原始数据怎么办?”--我的回答既无赖也同情!只能重新补做数据了!

  4. 如何备份数据:准备PE盘和1块没有数据的移动硬盘,用PE盘启动计算机,将中招的文件备份到移动硬盘,然后关闭电脑保持原状态不变,恢复或解密只针对备份进行操作。

  5. 紧急情况直接电话联系:18910108696(王经理)

  6. 4、修改密码!根据以往处理客户勒索病毒的经验,我们建议客户要立即修改局域网中其他设备的开机密码,并将密码设置15位以上(含英文大小写/无规律数字/特殊符号)--此做法一般避免其他设备遭到攻击和二次加密!

声明:此篇为用友服务中心文章,转载请标明出处链接:
  • 相关文章
  • 热门下载
  • 数据修复
  • 热门标签
合作伙伴