近期网络上出现勒索病毒攻击,该攻击存在于未做必要安全防护或使用Windows2016及IIS10.0以下版本的服务器。被病毒攻击之后文件将被锁无法打开,针对该勒索病毒,请大家务必加强安全防范措施,立即按照以下步骤开展自查和修复工作。请大家务必予以重视,加强安全防范措施。
请大家立即按照以下步骤开展自查和修复工作,T+用户安全防护操作步骤:
(1)检查T+的安装目录bin下是否存在load.aspx.cdcab7d2.compiled,App_Web_load.aspx.cdcab7d2.dll,Load.aspx,这几个文件,如存在,则说明已经中毒。请立即备份数据,一定要重装系统及软件(PS:已经中过毒的电脑系统不能再使用,一定要重新操作系统),重新安装操作系统建议安装Windows2016 IIS10.0以上版本。
PS:如何查看IIS版本(IlS是微软的web服务器,一般用于做网站开发)
方法一
b.输入打开iis管理窗口的命令inetmgr
c.在IIS管理器中->帮助->关于Internet信息服务
d.在弹出的对话框中可以看到IIS的版本
方法二
a.打开注册表,在运行框中输入命令regedit
b.找到键值对
HKEY LOCAL MACHINESOFTWAREMicrosoftInetStpVersionString
(3)安装火绒、360等安全客户端,开启防护,并进行全面扫描(4)检查硬盘数据是否进行了快照或备份,如没有,尽快开启备份。方法一、系统管理备份
1、运行T+至登录首界面,选择【系统管理员】进行登录。2、在系统管理界面,点击【账套维护】,选择好需要备份的账套,点击【备份】,设置好备份路径,保存备份文件即可,备份文件为zip格式的压缩文件。3、备份成功后文件会保存到指定的服务器路径,同时会提示是否需要下载文件到本地,如果在服务器上备份则可选“否”,若在客户端进行备份操作则可选“是”,把备份文件下载到本地的电脑,实现异机二重备份。(PS.备份完成后亦可将备份文件拷贝到U盘或上传网盘,进行多重备份保障)方法二、账套维护工具备份
1、服务器电脑依次点击【开始】-【所有程序】-【畅捷通T+XXX】-【T+账套维护工具】;2、选择【账套备份】后,可以批量勾选所需备份的账套明细,点击下方【备份】按钮,在弹出的【浏览文件夹】小窗中指定备份存储的路径点击【确定】即可开始备份。方法三、物理文件备份
1、物理文件的备份需要关闭数据库服务,否则会提示“正在被数据库打开”,关闭数据库服务的步骤:点击【开始】—【控制面板】—【管理工具】—【服务】,找到数据库服务SQL Server(MSSQLSERVER),点击右键,将服务停止。2、进入软件安装路径的data文件夹(X:ChanjetTPlusStdDBServerdata)下,找到*.mdf和*.ldf的账套库物理文件和系统库物理文件,如下图,在数据库服务停止之后将这些文件备份好,或者可以直接把data文件夹进行备份。(2)进入主机详情页后,选择云盘标签,点击“创建快照”按钮,如有多块磁盘,请分别创建快照(3)创建快照弹出框中,按照默认选项选择并确认即可(4)点击左侧快照按钮,可以看到快照的制作进度及状态。(2)点击上方云硬盘标签,对每块磁盘点击“创建快照”(4)点击左侧云硬盘→快照,即可查看快照的创建及完成情况(2)在主机实例详情页,下拉至最底端,可以点击跳转至磁盘详情页(5)点击左侧快照列表,即可查看快照创建进度及完成情况(1)检查是否有云主机的快照或备份,如有,可通过备份进行数据恢复;(2)检查数据库目录下的.mdf文件是否还存在,如还存在,则说明数据库文件未加密成功,可进行数据恢复;如果都变成了.mdf.locked后缀的文件,则说明已经被加密,建议联系专业的数据修复公司处理。
