2021年3月22日，接到广州客户求助，其U8 style=text-decoration:underline;font-size:14px;color:#F70968; target=_blank>用友U8  服务器V 12.1版本，中了了勒索病毒，文件后缀被篡改为.lockfiles，账套进不去，数据库文件也被加密了。

感染电脑后会加密所有的文件，并在每个目录下留加密说明文件“Recovery_Instructions.html”。文件名称后面附加病毒后缀.lockfiles。经过样本分析数据库文件能修复处理，其他类型文件还没找到技术突破，用友主要是数据库文件MDF，该文件可以进行修复。



 
1）服务器主要承载财务软件、物业收费软件。
系统无身份鉴别机制，administrator 帐号无密码登录
系统数据无备份。
 
2月23日晚发现部份文件中病毒，被锁死。文件被修改为。.lockfiles后缀名文件，打开文件后。

姓名	LockfilesKR病毒
威胁类型	勒索软件，加密病毒，文件柜
加密文件扩展名	.lockfilesKR
索要赎金	Recovery_Instructions.html
赎金金额	0.3 BTC（比特币加密货币）
网络犯罪Cryptowallet地址	1PormUgPR72yv2FRKSVY27U4ekWMKobWjg（比特币）
网络犯罪联系	Tor网络上的网站，helper @ atacdi.com和helper@buildingwin.com
检测名称	Avast（Win32：RansomX-gen [Ransom]），BitDefender（Generic.Ransom.MedusaLocker.942644D7），ESET-NOD32（Win32 / Filecoder.MedusaLock的变体），卡巴斯基（Trojan-Ransom.Win32.Medusa.aj），Microsoft（Ransom：Win32 / MedusaLocker.A！MTB），完整检测列表
症状	无法打开计算机上存储的文件，以前的功能文件现在具有不同的扩展名（例如，my.docx.locked）。赎金要求消息显示在您的桌面上。网络罪犯要求支付赎金（通常以比特币支付）以解锁您的文件。
分配方式	受感染的电子邮件附件（宏），洪流网站，恶意广告。
损害	所有文件均已加密，未经勒索无法打开。可以与勒索软件感染一起安装其他窃取密码的木马和恶意软件感染。

防护建议
1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括：
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。

如果您的服务器不幸中毒，请第一时间联系18910108696 王工，微信同号。