鸿华工作室2021年3月12日上班后,同事说道ERP服务器连接不上,以为网路线路故障或者本机电脑设置问题,后发现多太PC都无法连接ERP,于是我进入机房查看原因,登陆服务器发现系统无法登陆,怪不得大家无法连接,发现系统比较老WIN2003且是RAID5磁盘阵列,(启动个服务器都至少要花费5-8分钟),于是通过PE进入修复系统,暂时未发现病毒运行,通过修复后重启服务器后发现登陆系统的时候报错,然后就看到这一连串的相识的画面,我知道问题严重了,中了勒索病毒,此病毒变异版本之多且无法破解。如下图:
查阅了许多资料,360和火绒团队都无法破解,知道估计只能所有问题低格式化了,根究中毒原因初步分析,肯能由于我这边开启了3389,445端口,以及SQL的弱口令,还怕我赶紧把公司其他服务器里的资料备份一遍,防止数据丢失的风险。而此台服务器光荣牺牲,幸亏我数据有备份,且断网及时部分数据未被完全加密。初始化了系统登录后一切得重头再来,但由于代理商没有了,软件程序的安装没有光盘,只能自己摸索,一遍遍的找备份中的资料,安装SQL数据库,还原备份数据库,发现不能连接成功,原来有两个关键数据库TbrSystem(这个主要是负责和客户端PC名连接的库)然后通过源程序里的额clinet82安装及TCP/IP协议成功,双网卡设置及远程路由里设置源和目标及回环地址,因为这边有不同公网连接,所以要设置瑞友天翼的服务安装远程操作,连接SQL能够打开软件但发现只能1个并发用于登录要激活。又是懵逼状态,已经连续弄了几天软件厂商也是混子,一个转一个,先是渠道后联系技术查看了问题后又联系注册部门,然后注册又联系了分部的注册,给了注册代码后总算激活可以用了,但是现在是并发数量只有15个且有时效性10年郁闷,这边我就疑问了我是软件狗按理说只要狗不坏,都一直可以用的呀,技术回复我说:可能缺少注册组件,当时的注册功能不太完善。后问这个软件程序是什么开发的居然是很久以前失传的delphi,相信老一辈清楚把,当初的传奇就是这个软件开发的。经过5天的折腾总算修复好系统可以正常使用了,这个经历告诉我多学、多备份、多安全的的重要性。
