翔安一家电子厂勒索病毒应急处理全过程 - 电子制造IT解决方案
上周五下午,翔安一家做PCB板的电子厂打电话过来,说车间电脑全弹蓝屏,底下倒计时,文件打不开了。
到现场一看,12台电脑全中招,屏幕上挂着红色勒索信——要3个比特币。厂长脸都白了,这批订单周五要交,延误一天罚5万。
先断网。把车间交换机电源拔了,防止病毒往办公区扩散。挨个检查,还好仓库有台电脑前天刚重装系统没联网,是干净的。
服务器是戴尔T350,跑Windows Server 2019。SQL数据库的.mdf文件全变成乱码后缀,明显是勒索病毒。
查了下备份,之前装过Veeam,外挂一块2TB希捷硬盘。完整备份是三天前的,差量备份是昨晚的——运气不错。用PE盘启动那台干净的机器,装Veeam恢复控制台,挂载备份盘,先恢复昨晚的数据库,弄了快一个小时,SQL数据库回来了。
但订单系统跑的是金蝶K3,数据库回来还不行,得重装K3客户端。厂里IT说以前装过,有安装包。折腾到快下班,12台电脑全重装系统,再装K3连回数据库。
查入侵路径,发现是车间有台电脑装了个破解版AutoCAD,包里捆了木马。木马潜伏了两天,趁夜里没人时横向感染了整个网段。
在厦门做工厂IT这些年,勒索病毒碰上二三十回了。真正管用的就三样:网络分段隔离、离线备份、车间电脑别乱装破解软件。这三样做到,中招概率能降八九成。
厂长问要不要装杀毒软件。我说你先别想杀毒软件,把那台装盗版CAD的电脑换掉,比什么都管用。
翔安这片电子厂多,MES、ERP、金蝶、用友都有人在跑。这种活干多了,经验就那么几条。你自己能搞定较好,搞不定的话,打我电话就行——翔安、同安、集美这片我熟,基本一个小时能到。