V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mepine
V2EX  ›  程序员

公司财务的金蝶服务器中了勒索病毒咋办…

  •  
  •   mepine ·
    mepine · 2020-06-22 19:04:32 +08:00 · 10350 次点击
    这是一个创建于 1617 天前的主题,其中的信息可能已经有所发展或是发生改变。
    是安装在阿里云上的金蝶 windows 版。用户文件全被加密了,让联系他们,他们再给发付费方式…

    图:



    咋办啊?第一次…
    50 条回复    2020-06-24 10:38:34 +08:00
    ysoserious
        1
    ysoserious  
       2020-06-22 19:09:16 +08:00
    勒索病毒有概率是没有密钥的

    0. 找备份还原
    1. 联系并付款 (有可能被骗, 数据丢失, 有概率找回)
    2. 不联系, 就当数据丢了, 直接采取补救措施 (防止被骗)

    www A nomoreransom A org 可以先试试这些偏方
    zhzhA
        2
    zhzhA  
       2020-06-22 19:09:17 +08:00
    只能联系给钱了,除非数据不要了
    mynamewang0
        3
    mynamewang0  
       2020-06-22 19:13:57 +08:00
    今年初,我司的 window server 服务器也中毒,有些信息安全公司能破解,收费比直接付比特币便宜,而且破解不出不收钱。
    liuzhaowei55
        4
    liuzhaowei55  
       2020-06-22 19:15:04 +08:00 via Android
    找金蝶代理啊。。。
    mepine
        5
    mepine  
    OP
       2020-06-22 19:19:49 +08:00
    @mynamewang0 求介绍
    marcushbs
        6
    marcushbs  
       2020-06-22 19:27:27 +08:00
    每日 snapshot 备份的成本不能节省啊!
    opengps
        7
    opengps  
       2020-06-22 19:29:59 +08:00
    你们阿里云服务器开快照了没?
    superwhite
        8
    superwhite  
       2020-06-22 19:42:28 +08:00
    kokutou
        9
    kokutou  
       2020-06-22 20:13:04 +08:00   ❤️ 1
    具体要看病毒的。。
    有的密钥如果在本地,当然这种很少了,是可以破解的。。价格不菲。。
    还有可能虽然删除了,但是还在内存里,可以扫描出来,这两种情况很少。。
    有的公司有可能是中间商,就是直接找黑客付钱,然后赚差价的。。
    有的公司可能就是纯粹的骗子,只骗钱的。。
    yushuda
        10
    yushuda  
       2020-06-22 20:30:46 +08:00
    先确认一下样本是否可解密,定向勒索 99.9%不能
    看看重新做一套电子账成本多少,准备交钱吧...
    有中间商可以砍价

    没备份的公司遇到这事 平时安全基本是 0 没有讨价还价的余地
    yushuda
        11
    yushuda  
       2020-06-22 20:31:39 +08:00
    @mynamewang0 那可能是公开密钥的,现在都是成熟框架改出来的勒索 基本没有漏洞可找
    mepine
        12
    mepine  
    OP
       2020-06-22 21:01:30 +08:00
    @marcushbs
    @opengps
    唉…别提了…
    mepine
        13
    mepine  
    OP
       2020-06-22 21:01:47 +08:00
    @superwhite 感谢!
    25zai
        14
    25zai  
       2020-06-22 21:03:00 +08:00
    1.不和恐怖分子谈判
    2.找数据安全公司
    salor
        15
    salor  
       2020-06-22 21:07:01 +08:00
    用友金蝶都要求每天增量备份,如果你们的备份也被黑了当我没说。
    mepine
        16
    mepine  
    OP
       2020-06-22 21:10:12 +08:00
    @25zai 求介绍数据安全公司…
    yushuda
        17
    yushuda  
       2020-06-22 21:13:03 +08:00
    @mepine 数据安全不是你理解的这个数据恢复....
    mepine
        18
    mepine  
    OP
       2020-06-22 21:15:02 +08:00
    @yushuda 中间商去哪儿找啊…
    matrix67
        19
    matrix67  
       2020-06-22 21:17:43 +08:00
    之前党妹那个数据不知道恢复出来没。。。没备份真是惨
    yaming116
        20
    yaming116  
       2020-06-22 21:21:39 +08:00 via iPhone
    1. 责任人是否是你?如果不是建议整体做决定!然后制定方案,不建议个人解决,这样会怀疑是否事你自己搞🉐️鬼!
    zarte
        21
    zarte  
       2020-06-22 21:41:43 +08:00
    想问下如何中的做个记录预防下。
    yingfengi
        22
    yingfengi  
       2020-06-22 22:35:49 +08:00 via Android
    开快照了吗,有直接恢复,丢一段时间数据
    mmlmml1
        23
    mmlmml1  
       2020-06-22 22:51:14 +08:00
    这个病毒的英文让我觉得是个中国人搞的。。浓浓的 Chinglish 风
    Decoders other users (have) are not compatible with your data, because (of) each user's unique encription key.
    mostkia
        24
    mostkia  
       2020-06-22 23:41:39 +08:00
    在?为什么日常使用时不启用备份?哪怕几天一次也行啊,总部完全没退路强吧?到这个节骨眼想到后悔也来不及喽~
    x86
        25
    x86  
       2020-06-23 00:34:54 +08:00
    哈哈,我们集团总公司去年中过一次,听说是交了钱
    dearmymy
        26
    dearmymy  
       2020-06-23 02:12:53 +08:00
    @mynamewang0 安全公司也是找他们谈判还价的。
    dearmymy
        27
    dearmymy  
       2020-06-23 02:15:53 +08:00
    如果信息重要,谈判的时候装学生哭穷。先谈一个价格,然后找安全公司询问下。理论上技术上是很难恢复,安全公司,很多也是当个中介去谈判。两手做准备吧
    msg7086
        28
    msg7086  
       2020-06-23 07:33:50 +08:00
    没有备份的数据是不重要的数据。
    coolmenu
        29
    coolmenu  
       2020-06-23 08:03:52 +08:00
    备份备份!!!
    anyclue
        30
    anyclue  
       2020-06-23 09:05:52 +08:00
    淘宝搜店铺:用友数据恢复服务中心,别问我怎么知道的
    收费是按数据库个数分的,我们数据库个数多数据不多,不到 60 个数据库我们付了不到两万左右,耗时十天左右吧,还是很快的
    原理好像是被加密的数据库只是头部数据不一样,并没有整体被加密,跟正常的数据库做对比,然后分析抽离正常数据,大概好像是这样
    就算修好了还是有两件事要做,一是要找到是如何被加密的,否则还是能进来,二是定时的异地灾备,最好是冷备。
    openbsd
        31
    openbsd  
       2020-06-23 09:47:58 +08:00
    每天备份不拉到本地吃不下的表示,用云服务器咱不备份的么 ?
    no1xsyzy
        32
    no1xsyzy  
       2020-06-23 09:59:03 +08:00
    @mmlmml1 #23 也可能是为了避免行文风格被大数据嗅探进行了跨多语言机翻。
    论文如何去重:翻译成法文并翻译回来,然后把语法错误修复。
    no1xsyzy
        33
    no1xsyzy  
       2020-06-23 10:06:30 +08:00
    另,有研究者自己制作数据加密勒索软件并加密一台样本机,然后送所谓能对抗加密勒索的数据恢复公司,结果八成是联系勒索软件制作者谈判,两成放了半个月然后说恢复不了。其中能恢复的不少最终报价比直接支付还贵,实质上相当于风险转嫁,将付款后仍然不能恢复的风险转嫁到这些数据恢复公司身上。
    ren2881971
        34
    ren2881971  
       2020-06-23 10:07:58 +08:00
    没有备份和快照的话基本凉凉了 。 你给赎金也够呛能解密。。
    qwerthhusn
        35
    qwerthhusn  
       2020-06-23 10:08:03 +08:00
    重要数据备份,这种道理不吃一次教训是没有这种意识的
    eroko
        36
    eroko  
       2020-06-23 10:36:16 +08:00
    没备份?那就只有两个选择
    1. 数据我不要了
    2.乖乖交钱
    当然也可以试试找二道贩子砍价
    raysonlu
        37
    raysonlu  
       2020-06-23 10:37:13 +08:00
    金蝶是不是一小群体集体中毒了?
    Nicolas4
        38
    Nicolas4  
       2020-06-23 10:41:51 +08:00
    朋友公司中了一次,老板是付钱了,但是讨价还价到原来的一半价格
    janxin
        39
    janxin  
       2020-06-23 11:03:04 +08:00
    中勒索病毒基本上无药解吧,要么付钱,要么付了钱了都回不来
    N1ckl32
        40
    N1ckl32  
       2020-06-23 11:15:00 +08:00
    勒索病毒啊,目前的安全厂家就数字(360)能做到部分解密,直接联系数字公司吧
    另:不推荐给赎金,给了也不一定就能把数据找回来
    realpg
        41
    realpg  
       2020-06-23 12:50:22 +08:00
    @ysoserious #1

    你这说法其实很有误导性

    应该换个说法

    勒索病毒,确实有一些傻逼的版本是有密钥的……
    ditel
        42
    ditel  
       2020-06-23 13:14:48 +08:00 via Android
    云服务器先用每日备份把数据拉下来吧
    eastern
        43
    eastern  
       2020-06-23 13:34:23 +08:00
    这种有概率只加密了数据库数据文件头部的一小段数据,可以联系那种恢复数据库的先看看,然后对比一下价格
    clino
        44
    clino  
       2020-06-23 13:40:14 +08:00 via Android
    同好奇备份为什么没做呢
    22too
        46
    22too  
       2020-06-23 14:23:46 +08:00
    mepine
        47
    mepine  
    OP
       2020-06-23 15:01:15 +08:00
    @22too 谢谢,昨天试过了,解决不了
    cco
        48
    cco  
       2020-06-23 15:49:25 +08:00
    值钱的数据无价,不值钱的不在乎,舍不得备份只能承担风险。另外备份真的很花钱?
    Mession
        49
    Mession  
       2020-06-23 17:18:15 +08:00 via Android
    @x86 UIH ?
    tctc4869
        50
    tctc4869  
       2020-06-24 10:38:34 +08:00
    勒索病毒一般都是怎么中的?是不是都下了病毒文件?还是某个端口号开放导致的?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3373 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 12:32 · PVG 20:32 · LAX 04:32 · JFK 07:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.