确认中了勒索病毒如何采取应急措施？

　　当我们已经确认电脑中了勒索病毒应该如何采取应急措施进行自救呢?一般来说，我们在确认电脑感染勒索病毒后应第一时间联系专业数据恢复团队进行处理，但是我们要知道，等待专业人员进行解密是需要一定的时间的，所以，力创安全专家认为，确认中了勒索病毒后应第一时间采取应急措施进行自救，同时联系专业人员，避免损失扩大，接下来我们一起来看看确认中了勒索病毒采取应急措施方法。

　　一、确认中了勒索病毒自救的正确处置方法

　　1、隔离中招主机

　　处置方法

　　当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段，物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。

　　(1)物理隔离

　　物理隔离常用的操作方法是断网和关机。

　　断网主要操作步骤包括：拔掉网线、禁用网卡，如果是笔记本电脑还需关闭无线网络。

　　(2)访问控制

　　访问控制常用的操作方法是加策略和修改登录密码。

　　加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如防火墙或终端安全监测系统;避免将远程桌面服务(RDP，默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启，则可通过VPN登录后才能访问)，并关闭445、139、135等不必要的端口。

　　修改登录密码的主要操作为：立刻修改被感染服务器的登录密码;其次，修改同一局域网下的其他服务器密码;第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求：采用大小写字母、数字、特殊符号混合的组合结构，口令位数足够长(15位、两种组合以上)。

　　2、排查业务系统

　　处置方法

　　在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

　　3、联系专业人员

　　在应急自救处置后，建议第一时间联系专业的技术人士或安全从业者，对事件的感染时间、传播方式，感染家族等问题进行排查。力创安全团队是专业的数据恢复团队，为客户提供勒索病毒解密、服务器恢复、数据库修复及防护等全面专业服务。目前已为近两千家企业客户解决被勒索病毒破坏的整机文件解密及数据库修复难题，帮助客户挽回了无法估量的损失，赢得良好的业内口碑及较高的商业信誉。

　　二、确认中了勒索病毒自救的错误处置方法

　　1、使用移动存储设备

　　错误操作

　　当确认服务器已经被感染勒索病毒后，在中毒电脑上使用U盘、移动硬盘等移动存储设备。

　　2、读写中招主机上的磁盘文件

　　错误操作

　　当确认服务器已经被感染勒索病毒后，轻信网上的各种解密方法或工具，自行操作。反复读取磁盘上的文件后反而降低数据正确恢复的概率。

　　错误原理

　　很多流行勒索病毒的基本加密过程为：

　　(1)首先，将保存在磁盘上的文件读取到内存中;

　　(2)其次，在内存中对文件进行加密;

　　(3)最后，将修改后的文件重新写到磁盘中，并将原始文件删除。

　　也就是说，很多勒索病毒在生成加密文件的同时，会对原始文件采取删除操作。理论上说，使用某些专用的数据恢复软件，还是有可能部分或全部恢复被加密文件的。

　　而此时，如果用户对电脑磁盘进行反复的读写操作，有可能破坏磁盘空间上的原始文件，最终导致原本还有希望恢复的文件彻底无法恢复。

　　以上则是“确认中了勒索病毒如何采取应急措施?”的相关问题解答，如您需了解更多关于网络安全的内容、解密文件、数据恢复等需求，请及时与我们取得联系。力创安全团队是专业的数据恢复团队，在病毒防御、网站安全、安全渗透、服务器安全维护、内部网络安全等领域有着深厚的积累，并研究且拥有几百种勒索病毒的详细破解方案，对勒索病毒解密及数据库修复具有丰富的经验，掌握多种针对勒索病毒破坏的整机文件及数据库修复手法。

如有疑问，马上在线咨询 点击在线咨询