勒索病毒频发,信息安全事件如何破 --记两次勒索病毒数据恢复实例
特价活动:>>>> 畅云管家新购、续费8折优惠,畅捷通T+cloud、好会计、易代账、好业财、好生意云产品8折优惠。
某企业用友U8中勒索病毒后数据修复及重新实施过程记录
近期某客户中了勒索病毒,虽然前期多次提醒客户注意异地备份,但始终未执行,导致悲剧。
经过几天的努力,该客户信息系统已基本恢复正常运行,现将相关过程记录如下,作为警示。
方案抉择
-
交赎金解密:风险过高,不考虑。
-
通过第三方数据恢复公司解密:价格及时间成本特别高,客户难以承受,放弃。
-
通过第三方数据恢复公司修复数据库文件,然后附加到数据库中,最后修复的数据库进行重新实施:最终采用此方案。
数据修复
-
安排甲方断开服务器网络,关闭服务器。
-
与甲方沟通数据恢复方案,最终甲方决定采取修复数据库模式。
-
制作Windows PE,并用PE启动系统。
-
进入U8数据库所在文件夹,通常为U8安装目录下的Admin\机器名称\
-
拷贝UFSystem(系统设置 )以及各账套号文件夹里面的UFDATA(业务数据)、UFMETA(元数据)。
-
将这些表提交给数据恢复公司,进行数据库修复。
-
下载并在正常电脑安装同版本数据库,引入修复好的数据,用查询语句查询结果。
-
经过查询发现丢失了部分表以及部分记录,但可以查询出不少有用的信息。
环境重做
-
制作Windows Server 2016启动U盘,并启动进行系统重装 。
-
在重装界面删除所有分区并重建分区及格式化。
-
完成Windows Server 2016的安装,并激活操作系统。
-
由于甲方硬件为家用CPU,需要破解网卡驱动,破解后安装网卡驱动、设置固定IP地址。
-
为服务器添加.net3.5、IIS、远程桌面等角色功能。
-
为服务器安装SQL Server 2014及SSMS 2014。
-
为服务器安装用友U8+所需的其他环境。
-
为服务器安装用友U8+13.0,并完成账套初始化设置。
-
完成用友U8+13.0加密狗的注册。
-
为服务器安装Office 2019,并激活Office。
-
为服务器安装其他常用必要软件及防护软件。
-
系统高级设置中打开远程桌面访问权限,并增加用户。
重新实施
-
与甲方沟通具体账套重做方案,最终确定以本月作为新账套启用月,补录本月初至现在单据。
-
创建新空白账套,设置启用月份、数据精度、编码方案、启用模块。
-
设置账套备份计划,并要求甲方购买坚果云同步后,将备份文件夹设置为自动同步。
-
将恢复后的数据库附加到数据库实例中。
-
逐一进行基础档案资料表的拷贝,从恢复数据库复制到新数据库中,具体包括:
-
收发类别
-
地区分类
-
会计科目
-
部门档案
-
人员档案
-
客户分类
-
客户档案
-
供应商分类
-
供应商档案
-
计量单位组
-
计量单位
-
存货分类
-
仓库档案
-
存货档案
-
自定义项档案
-
结算方式
-
销售类型
-
采购类型
-
安排甲方对丢失的基础档案数据进行手工录入整理,例如科目丢失数十个,人员丢失数十个,存货档案丢失名称、类别、默认计量单位等。
-
修改软件各模块参数选项以及自定义项。
-
设置单据显示格式及各类默认值。
-
设置单据打印模板,并在用户电脑上进行打印测试。
-
设置各财务模块科目。
-
重新开发各类报表,包括:
-
毛利分析表
-
入库汇总表
-
领料汇总表
-
阿里巴巴平台销售分析表
-
未开票情况查询表
-
发票与发货单价不一致查询
-
总账凭证查询表
数据补录
-
安排甲方仓库人员将12月1日盘点的库存数据录入系统库存期初余额。
-
安排甲方财务人员按照11月相关报表整理12月总账期初余额、应收应付期初余额并分别录入系统。
-
安排甲方财务人员按照相关文档查找库存期初存货的单价金额并录入存货核算期初。
-
安排甲方业务与财务人员根据相关资料在系统内补录12月1日至今的各类单据及凭证。
总结
由于以下几点,本次重新实施比预计的要顺利一些:
-
该客户的系统模块及业务内容均较为简单。
-
该客户各类业务均及时在系统内开具单据并打印。
-
该客户刚好完成11月份账务处理与报表编制。
-
之前实施过程中知识转移较为成功,许多工作客户方能够协助完成。
如果没有以上几点,重新实施的难度将会更大,以后无论任何客户,均必须反复提醒异地备份及病毒防范措施。