问题现象：2021年4月26日，接到用友集团朋友引荐，北京某重要客户用友 U8 12.0服务器中了helpbackup@email.tg.devos后缀的勒索病毒，所有文件后缀被篡改成了helpbackup@email.tg.devos，导致用友软件无法登录和做账，严重影响了财务部门的日常业务。




问题解决：该客户是用友忠实的客户，寻求了多家公司和机构，数据一直未能解决。后通过用友集团公司介绍，通过电话沟通，确定了这是phobos勒索病毒，暂时不能破解秘钥，但是考虑到客户主要使用的是用友软件，重要的数据未sql数据库文件，根据之前的处理经验，该后缀的数据库文件可以修复，进而在软件里进行调试，恢复效果良好。由于客户数据保密原因，我们派出了技术总监亲自坐镇，现场为客户进行数据文件分析，确定了该账套加密程度有限，可以底层处理导入到软件。


您的服务器不幸中了勒索病毒，第一时间断网，备份，联系我们：18910108696，王工，微信同号，同时，提供样本文件，可以qq或者微信，后者百度云。我们第一时间为您检查文件，确定处理方案。

防护建议：
1.多台机器，不要使用相同的账号和口令
2.登录口令要有足够的长度和复杂性，并定期更换登录口令
3.重要资料的共享文件夹应设置访问权限控制，并进行定期备份
4.定期检测系统和软件中的安全漏洞，及时打上补丁。
5.定期到服务器检查是否存在异常。查看范围包括：
a)是否有新增账户
b) Guest是否被启用
c) Windows系统日志是否存在异常
d)杀毒软件是否存在异常拦截情况
6.安装安全防护软件，并确保其正常运行。
7.从正规渠道下载安装软件。
8.对不熟悉的软件，如果已经被杀毒软件拦截查杀，不要添加信任继续运行。