要1：二次开发的网站请谨慎!!!

重要2：事先备份网站数据库与源码!!!

本教程操作繁琐，请耐心照着一步步操作，大致流程如下：

下载官方核心包 -> 扫描专属目录 -> 清空网站根目录 -> 上传解压新源码

1、在网站后台在线扫描，检查是否存在可疑恶意文件、DDOS攻击脚本等。

2、查看你网站的版本号 /data/conf/version.txt，如下图：v1.5.8版本

下载对应版本的源码核心包（里面不包含前台模板、图片目录等每个网站独有的文件），并解压到本地新的文件夹 eyou 里。

EyouCMS-V1.5.8-UTF8-Core.zip
EyouCMS-V1.5.7-UTF8-Core.zip
EyouCMS-V1.5.6-UTF8-Core.zip
EyouCMS-V1.5.5-UTF8-Core.zip
EyouCMS-V1.5.4-UTF8-Core.zip
EyouCMS-V1.5.3-UTF8-Core.zip
EyouCMS-V1.5.2-UTF8-Core.zip
EyouCMS-V1.5.1-UTF8-Core.zip
……更多早期版本，如需要请反馈

3、复制你网站的模板、图片、分页等二开新增的文件，按对应目录粘贴到刚才解压的新源码 www 里，目录和文件如下：
/public/upload -- 早期上传目录（没有可以忽略）
/template -- 前台模板目录
/uploads -- 上传目录
/weapp -- 插件目录
/extend/function.php -- 用户自定义函数文件
/core/library/think/paginator/driver/Eyou.php -- PC端列表分页html代码文件
/core/library/think/paginator/driver/Mobile.php -- 手机端列表分页html代码文件

4、对以上第3步的目录文件，进行查杀木马

（1）通过windows查找文件的方式，搜索以下目录是否存在 php文件，并将删除。
/public/upload
/template
/uploads

（2）使用D盾工具查杀这几个目录和文件（D盾下载地址：点击下载）
/public/upload
/template
/uploads
/weapp -- 插件目录（如果插件扫描有可疑文件，建议联系开发者确认是否木马文件、或多余可疑恶意文件）
/extend/function.php
/core/library/think/paginator/driver/Eyou.php
/core/library/think/paginator/driver/Mobile.php

（3）如发现是图片木马，右键选择删除；如发现是模板文件，请用（除记事本之外）编辑器查看并手工处理可疑代码片段。

（4）建议人工检查 /template 模板文件代码，是否存在可疑代码片段、或者新增模板文件，并删除。

5、在中毒网站的目录内，打开 application/database.php 数据库配置文件，将对应信息填写到新源码包 www 的 application/database.php 文件里，如图：

6、重置空间

（1）一键清空当前站点所在的空间目录

1、如果是宝塔环境，根目录里的 .user.ini 不要删除

2、如果虚拟空间，直接从最外一级清空目录，因为 .svn 目录，可能有些木马会注入其中。

（2）重启空间或服务器（避免存在内存木马）

（3）修改空间或者服务器，宝塔面板，网站FTP，网站后台等等与网站相关的一切登录密码

（4）适当开启一些安全防护功能，比如：防火墙、防篡改（可能会导致下次升级网站部分文件覆盖失败）

7、打新源码压缩包 www ，上传到空间/服务器进行解压即可。

络技术的不断应用与发展，为企业的生产运营提供了极大便利，利用网络可以开展各项工作业务，可以大大提高企业的生产效率，然而，网络是一把双刃剑，在为企业提供便利的同时，也为企业的数据安全带来严重威胁。近日，云天数据恢复中心接到多家企业的求助，企业的计算机服务器遭到了360后缀勒索病毒攻击，导致企业计算机服务器系统瘫痪，无法正常工作，严重影响到了企业正常生产运营。

360后缀勒索病毒是一种具有较强目的性的勒索病毒，该勒索病毒属于Beijingcrypt勒索家族，该家族下有多重后缀勒索病毒像360，halo，faust等，360后缀勒索病毒采用了新升级后的RSA与AES加密算法，具有较强的攻击与加密能力，可以通过远程桌面弱口令与电子邮件附件或捆绑软件等形式进行传播，一旦被该勒索病毒攻击，非专业技术团队很难自行解密恢复文件。经过云天数据恢复中心工程师对360后缀勒索病毒的解密恢复，为大家整理了以下有关该勒索病毒的相关信息。

一，360后缀勒索病毒特点

1. 攻击加密，由于360后缀勒索病毒采用了新升级后的RSA与AES加密算法，该勒索病毒加密后的文件全部为全字节格式，具有较强的攻击能力，它可以绕过企业的防护软件，伪装成系统不便于识别的信任软件进行攻击，从而实施加密程序。
2. 中毒表现，当计算机服务器被360后缀勒索病毒攻击后，企业计算机上的所有文件的后缀名统一会变成360，像jiemihuifu.mdf文件就会变成jiemihuifu.mdf.360，并且还会在计算机的桌面流行一封名为!_INFO.txt或!_INFO.html勒索信。
3. 中毒后果，360后缀勒索病毒会给企业带来严重的经济损失，大多3000-5000美金不等，并且还会造成企业重要信息泄露的风险，严重影响企业的正常业务开展，给企业的信誉与口碑带来恶劣后果。

二，360后缀勒索病毒解密

1. 数据库破解，针对360后缀勒索病毒，专业的数据恢复机构拥有成功的解密恢复经验，根据不同企业的加密状况结合加密漏洞与早期未中毒的备份文件，可以制定出合理的解密方案计划，数据恢复完整度高，数据恢复安全高效。
2. 整机解密，由于360后缀勒索病毒的加密方式为全字节格式，如果企业需要解密的文件类型包括办公格式的图档或视频，需要采用整机解密，整机解密成本较高，但是数据恢复完整度高，数据恢复安全高效。

三，360后缀勒索病毒预防

1. 安装可靠的防勒索病毒软件，定期系统查杀，修补漏洞，维护系统的弱口令密码。
2. 减少端口共享与映射操作，避免计算机端口长时间暴露在公网之上，尤其夜间。
3. 定期备份系统文件，并做好物理隔离，预防特殊情况的发生。
4. 提高全员网络安全意识。