OA ERP服务器被勒索者病毒加密后的补救措施

2022-07-08

现在企业的运营都依赖着各种应用系统的支撑，应用系统的稳定运行关系着整个企业的正常生产经营，今年来爆发的勒索者病毒，对企业的各种应用服务器带来了巨大的威胁，近日，我们一客户的应用服务器被勒索者病毒给恶意加密了。在整个的恢复数据的过程中，我们也总结了一些经验，和大家分享一些，希望给大家带来一些帮助，避免自己企业发生此类事情。

早上，客户员工发现OA和用友ERP无法登录，进入服务器看到服务器上所有后缀文件，全部被恶意加密了，后缀文件全部变成Horse865qq结尾的文件，虽然现在有恢复数据库表的技术，但是很多附件还是无法破解呢，还有之前做了一个NAS备份服务器，通过还原数据就可以恢复应用服务器的正常运转了，所以，在实际的应用管理当中，一定做好服务器的备份工作。

在数据恢复的过程中，时间也是很漫长的，因为只做了数据备份，没有做服务器系统备份，所以重新布置环境时间很漫长。在此，我们总结的经验如下：

1、服务器一共要做好数据库的备份，不能备份到本机，一定是备份到不同的电脑主机上，比如自动备份到NAS上，注意，在备份的时候，一定不要忘记备份OA系统的附件目录。不然只有数据库文件，是无法完全恢复OA服务器的。

2、在企业机房管理上，一定要有一台有完整环境的服务器备用机，这次，客户就没有备用服务器，在恢复过程中，花费了大量的时间，拷贝数据--格式化--重做系统-安装环境--部署软件--导入备份。耽误了很长时间。耽误的时间都是企业的运营成本，远远超出一台备份服务器的价值。

3、在服务器的选择上，一定要选择虚拟化服务器，每天做系统快照，万一出问题，直接恢复系统快照，大约30分钟左右，就能恢复如初。这次客户出问题后，委托我们搭建虚拟化服务器，避免数据恢复时间长，安全没有保障的问题。

4、在服务器的运维上，应用服务器一定不能直接上外网，跨地域的版本可以使用VPN来连接。开启服务器的防火墙，禁用非应用系统使用的端口，更新服务器补丁，安装服务器杀毒软件，开启主动防御。

5、也可以使用我们公司的数据保险箱，来防止勒索者病毒对数据的恶意加密，因为大家都知道勒索者病毒是通过对文件后缀加密，来到达对数据的破坏，从而索要赎金，我们的数据保险箱产品，是创建一个虚拟化磁盘，所有应用系统都在此虚拟化磁盘里来运行，并阻止其它程序访问，达到预防勒索者病毒的目的。

只有做好这些，才能防患于未然，做到有备无患。