近期某客戶中了勒索病毒,雖然前期多次提醒客戶注意異地備份,但始終未執行,導致悲劇。
經過幾天的努力,該客戶信息系統已基本恢復正常運行,現將相關過程記錄如下,作為警示。
方案抉擇
- 交贖金解密:風險過高,不考慮。
- 通過第三方數據恢復公司解密:價格及時間成本特別高,客戶難以承受,放棄。
- 通過第三方數據恢復公司修復數據庫文件,然后附加到數據庫中,最后修復的數據庫進行重新實施:最終采用此方案。
數據修復
- 安排甲方斷開服務器網絡,關閉服務器。
- 與甲方溝通數據恢復方案,最終甲方決定采取修復數據庫模式。
- 制作Windows PE,並用PE啟動系統。
- 進入U8數據庫所在文件夾,通常為U8安裝目錄下的Admin\機器名稱\
- 拷貝UFSystem(系統設置 )以及各賬套號文件夾里面的UFDATA(業務數據)、UFMETA(元數據)。
- 將這些表提交給數據恢復公司,進行數據庫修復。
- 下載並在正常電腦安裝同版本數據庫,引入修復好的數據,用查詢語句查詢結果。
- 經過查詢發現丟失了部分表以及部分記錄,但可以查詢出不少有用的信息。
環境重做
- 制作Windows Server 2016啟動U盤,並啟動進行系統重裝 。
- 在重裝界面刪除所有分區並重建分區及格式化。
- 完成Windows Server 2016的安裝,並激活操作系統。
- 由於甲方硬件為家用CPU,需要破解網卡驅動,破解后安裝網卡驅動、設置固定IP地址。
- 為服務器添加.net3.5、IIS、遠程桌面等角色功能。
- 為服務器安裝SQL Server 2014及SSMS 2014。
- 為服務器安裝用友U8+所需的其他環境。
- 為服務器安裝用友U8+13.0,並完成賬套初始化設置。
- 完成用友U8+13.0加密狗的注冊。
- 為服務器安裝Office 2019,並激活Office。
- 為服務器安裝其他常用必要軟件及防護軟件。
- 系統高級設置中打開遠程桌面訪問權限,並增加用戶。
重新實施
- 與甲方溝通具體賬套重做方案,最終確定以本月作為新賬套啟用月,補錄本月初至現在單據。
- 創建新空白賬套,設置啟用月份、數據精度、編碼方案、啟用模塊。
- 設置賬套備份計划,並要求甲方購買堅果雲同步后,將備份文件夾設置為自動同步。
- 將恢復后的數據庫附加到數據庫實例中。
- 逐一進行基礎檔案資料表的拷貝,從恢復數據庫復制到新數據庫中,具體包括:
- 收發類別
- 地區分類
- 會計科目
- 部門檔案
- 人員檔案
- 客戶分類
- 客戶檔案
- 供應商分類
- 供應商檔案
- 計量單位組
- 計量單位
- 存貨分類
- 倉庫檔案
- 存貨檔案
- 自定義項檔案
- 結算方式
- 銷售類型
- 采購類型
- 安排甲方對丟失的基礎檔案數據進行手工錄入整理,例如科目丟失數十個,人員丟失數十個,存貨檔案丟失名稱、類別、默認計量單位等。
- 修改軟件各模塊參數選項以及自定義項。
- 設置單據顯示格式及各類默認值。
- 設置單據打印模板,並在用戶電腦上進行打印測試。
- 設置各財務模塊科目。
- 重新開發各類報表,包括:
- 毛利分析表
- 入庫匯總表
- 領料匯總表
- 阿里巴巴平台銷售分析表
- 未開票情況查詢表
- 發票與發貨單價不一致查詢
- 總賬憑證查詢表
數據補錄
- 安排甲方倉庫人員將12月1日盤點的庫存數據錄入系統庫存期初余額。
- 安排甲方財務人員按照11月相關報表整理12月總賬期初余額、應收應付期初余額並分別錄入系統。
- 安排甲方財務人員按照相關文檔查找庫存期初存貨的單價金額並錄入存貨核算期初。
- 安排甲方業務與財務人員根據相關資料在系統內補錄12月1日至今的各類單據及憑證。
總結
由於以下幾點,本次重新實施比預計的要順利一些:
- 該客戶的系統模塊及業務內容均較為簡單。
- 該客戶各類業務均及時在系統內開具單據並打印。
- 該客戶剛好完成11月份賬務處理與報表編制。
- 之前實施過程中知識轉移較為成功,許多工作客戶方能夠協助完成。
如果沒有以上幾點,重新實施的難度將會更大,以后無論任何客戶,均必須反復提醒異地備份及病毒防范措施。