装有百胜ERP系统的服务器中勒索病毒事件

  2017年12月20日早上8:00左右,我们登录百胜ERP系统准备开始新一天的工作。殊不知ERP系统无法登入,提示“远程服务器程序连接错误”,开始以为是某部电脑的问题,就让同事登录他们电脑上的ERP系统,结果全部都是这这样的情况。
勒索病毒1

  然后我就QQ联系了百胜公司的工程师曹工,问他这是什么情况。当时他还在地铁上,他们是9点才上班的。他让我远程进入服务器看看服务程序有没启动,他说正常情况下出现这样的情况是系统的服务程序没有启动引起的。我远程登陆了服务器,刚进入服务器,就弹出一个全屏的页面来,上面全部都是英文。
勒索病毒2勒索病毒3

  我把那个页面最小化,就发现桌面上的文件和软件的快捷方式都变成了白纸一般的形状,而且每个文件的后缀都被加上了“.CHAK”字样。
勒索病毒4

   我尝试着登陆了ERP系统,提示“Windows无法打开此文件”之类的错误。
勒索病毒5

  我一时间弄不清楚是什么问题,就把这样情况全部都截图给百胜的曹工看。他当时还是地铁上还没到公司,他让我找会外语的翻译一下看看那个警告文件说的是什么内容。当时陈经理还没来,我就把文件里的英文复制到百度翻译那里去翻译,然后发给曹工看。

  曹工看了,说我们中了“勒索病毒”了。他也登陆服务器去看了,说我们的服务器是20日凌晨3点多中的病毒。
勒索病毒7

  我问他该如何解决。

他说了三个方法:1、联系黑客;2、找数据中心;3、重装系统。他建议我们联系黑客问问多少钱,他说找数据中心的话他们也是找黑客沟通,而且还会额外多收一部分服务费。

  我当时慌了,就给我们经理打电话,告诉他当时的情况。当时他正好在外出差,他让我跟老总沟通。我把那份文件打印出来去跟老总反映了这个情况,他让我找阿顾按照文件上提供的邮箱去联系黑客。我就去找阿顾让他帮忙联系黑客。

  然后就是焦急的等待黑客的回复。

  下午5点左右,黑客终于回复了,说的大意是需要在6个小时内给他们支付0.4个比特币。
勒索病毒8

  我把邮件打印出来拿去给老总。老总说他已经开通了比特币账户,账户在等待认证中,认证通过了才可以使用和支付。

  傍晚6点左右,我按照百胜曹工的提议,把服务器给关机了,以免本地其他电脑也被感染病毒,然后回家。晚上7点老总打电话给我说他的账户已经通过认证了。我跟老总说服务器已经被我关闭了,他让我打开服务器,他准备给黑客支付了。我就打电话给老袁让他去帮忙打开服务器。晚上8点49分老总来电话说已经给黑客支付了4.9万多元人民币,然后等待黑客给我们解密文件。晚上11点多,我登陆服务器,发现文件依然是被锁定的状态尚未解密,当时我觉得已经很晚了,就没有报告给老总。

  第二天早上7点半,我再次登陆服务器,发现文件还是没有被解密,7点45分就打电话给老总说明了情况,他说不要抱希望黑客会帮解密文件了,黑客说他支付超时了要多加50%的钱。老总说黑客不讲信誉,不会再给他们一分钱,让我联系百胜公司,做第三套方案:重装系统。

  然后我联系了百胜公司,他们报价,然后拿给老总审批,然后百胜公司做合同、签合同、写签呈支付、百胜公司联系他们上海总部重新授权、开通阿里云等等流程。当时百胜曾经为我们服务过的两位工程师正好都在其他公司驻点工作,他们说会安排新的工程师过来。我觉得新的工程师不知道我们的业务需要和操作习惯,就联系他们的销售人员和那两位工程师,要求他们向公司申请,把他们调配给我们,因为他们为我们服务过,了解我们的业务需要,重新实施起来会节省不少时间,对我们公司重新正常运转会有很大的帮助。

  听曹工说,他们公司的张总当时就召开紧急会议,一直到当天晚上11点才决定,按照我的提议把那两位工程师调配到我们公司来。周六早上,两位工程师来到我们公司,我们配合他们工作,一直到晚上11点10分,ERP系统重新建立起来、把我们的货品资料全部导入到系统里、建立了所有的客户信息和各种档案等等。周日又做到晚上9点多,把系统里的操作和操作分工权限、各种单据类型、货品详情、虚拟仓库、仓库进出仓盘点机和系统对接、线上系统重新对接、商品库存导入系统等等的工作都做好,两位工程师连夜赶回广州。到圣诞节那天,系统基本恢复正常工作。12月26日,百胜曹工再次到公司来,把系统的一些细节内容逐步优化好。

  至此,ERP系统已经恢复正常工作。
  
  经过这件事情,我深刻的认识到,作为系统的管理员,不仅要会使用系统、能为同事解决一些使用系统过程中遇到的问题,还要在日常中定期、异地备份系统数据,避免突发情况,减少损失。做好定期异地备份系统数据(尽管阿里云官方说他们的云端有自动备份和快照),包括定期异地备份松联的蓝天系统数据,确保系统和系统使用工作顺利运作。

如需转载本文,请联系韦庆东,谢谢!本文链接:创作屋 - 韦庆东的原创博客 » 装有百胜ERP系统的服务器中勒索病毒事件

赞 (1)

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址