2023年02月28日，接到客户求助，使用的T1飞跃版中了勒索病毒，所有的文件后缀被篡改成了.California后缀，导致系统崩溃。对方留的信件信息如下：

                                                     

                                                                         HELLO ! NI HAO ! OLA !

                                                                                   

                                                                        CAN I DECRYPT MY FILES ? 

YES.

 

SURE.

 

We guarantee that you can recover all of your data easily!. We are give you full instruction. And help you untill decryption process is fully finished.

 

                                                                                 CONTACT US:

 

Download the (Session) messenger (https://getsession.org) in  messenger :" 05db4285d106c236860d911cba563d6a1d0128db2bfdebfebf79c9ff5e5e012031 " You have to add this Id and we will complete our converstion.

 

                                                             You have to pay for decryption BITCOIN ONLY!

 

                                                                               !!! ATTENTION !!! 

 

IF YOU WILL CONTACT DATA RECOVER COMPANY THEY WILL WASTE YOUR TIME AND TRY TO GET MONEY FROM YOU, than they will try to contact us and try got money from 2 sides (So waste your and our time).

 

                                                    REMEMBER !!!! This money will be from your pocket any way.

 

We can give you 1 - 2 encrypted files not big , NOT VALUE,  for test (You send us encrypted we send you back decrypted data).

 

You data encrypted and only WE ARE have decryption key.(To decrypt your data you need just 30 min, after payment, no more than ! ! ! )

 

Do not rename encrypted files, do not try to decrypt your data by using third party software, it may permanent data loss. 

 

We have been in your network for a long time. We know everything about your company most of your information has already been downloaded to our server. We recommend you to do not waste your time if you dont wont we start 2nd part.

 

                                                                     You have 24 hours to contact us.

 

                                                                 Otherwise, your data will be sold or made public.

第一时间成了数据恢复的微信群，初步检测了加密文件，加密成都很小，几乎可以达到100%完美恢复。由于客户的账套比较多，初步沟通，先恢复客户着急使用的测试，恢复后软件登录和查询都正常，但是在保存单据的时候报错系统忙。




通过修复数据库脚本文件后恢复正常，客户在验收账套中未发现问题。

预防勒索病毒-日常防护建议：

预防远比救援重要，所以为了避免出现此类事件，强烈建议大家日常做好以下防护措施：

1．多台机器，不要使用相同的账号和口令，以免出现“一台沦陷，全网瘫痪”的惨状；

2．登录口令要有足够的长度和复杂性，并定期更换登录口令；

3．严格控制共享文件夹权限，在需要共享数据的部分，尽可能的多采取云协作的方式。

4．及时修补系统漏洞，同时不要忽略各种常用服务的安全补丁。

5．关闭非必要的服务和端口如135、139、445、3389等高危端口。

6．备份备份备份！！！重要资料一定要定期隔离备份。进行RAID备份、多机异地备份、混合云备份，对于涉及到机密或重要的文件建议选择多种方式来备份；

7．提高安全意识，不随意点击陌生链接、来源不明的邮件附件、陌生人通过即时通讯软件发送的文件，在点击或运行前进行安全扫描，尽量从安全可信的渠道下载和安装软件；

8．安装专业的安全防护软件并确保安全监控正常开启并运行，及时对安全软件进行更新。

您的服务器不幸中了勒索病毒，第一时间断网，备份，联系我们：18910108696，王工，微信同号，同时，提供样本文件，可以qq或者微信，后者百度云。我们第一时间为您检查文件，确定处理方案。