问题现象：2020年11月26日，接到山东用友伙伴求助，其名下的客户，使用的是用友 U8 12.0，有供应链和总账，固定资产等模块，中了勒索病毒，所有文件被篡改成了后缀名是.[squadhack@email.tg].Devos。


问题解决：第一时间成立数据应急处理小组，拿到了伙伴提供的中毒文件的样本，底层分析：得出结论，数据加密有限，完全可以修复。搭建了U8的系统环境，加班处理。通过一周时间，数据处理完毕。由于该客户涉及到了供应链模块，导入数据后，发现所有涉及到入库后出库的单据保存报错。整理现存量又报错：.[squadhack@email.tg].Devos。进一步调试，处理的相关表的逻辑关系，完美恢复。

此类勒索病毒属于：phobos家族 ，针对部分类型的数据库文件，暂时还可以进行修复，修复成功率大概在95%以上，可能存在部分数据的缺失。如果对数据100%恢复，一般只能通过解密。如果您的数据有任何问题，第一时间联系我们：18910108696- 王工，微信同号


防护建议：
1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括：
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。