勒索病毒如何自救？

• 2019 年 10 月 6 日
• 筆記

最近雲主機報中了勒索病毒的情況不斷出現，搜索了一些資料，相信對預防、以及處理病毒會有幫助。

一、如何判斷中了勒索病毒？

1、業務系統無法使用。因為源文件被刪除，被加密成了新文件，會造成業務系統的可執行文件、重要數據庫文件無法使用。

2、電腦桌面被修改。通常桌面會出現文本、網頁文件，詳明如何取迴文件。

3、文件後綴被修改。

二、如何自救？

1、隔離中招的主機。關閉該服務器、或斷網。

2、加訪問控制策略。把3389端口換為其它端口（或只允許VPN登錄），關閉139、445、135等不必要的端口。

3、修改登錄密碼為複雜密碼。

這樣處理的原因：1、防止受感染的主機自動通過網絡感染其它服務器；2、防止黑客通過受感染的主機操控其它服務器。有些病毒會通過系統漏洞，弱密碼向其它主機傳播病毒，感染時間為1-2分鐘/台。如WannaCry勒索病毒。

三、錯誤的處理方法是？

1、使用移動存儲設備。因病毒會對所有文件進行傳播，極可能對U盤、移動硬件等設備進行病毒傳染。

2、輕信網上的處理方法，反覆讀取磁盤上的文件。很多病毒的加密過程是：a、將磁盤上的文件讀取到內存中；b、對內存中的文件進行加密；c、將加密後的文件寫回到磁盤中，並將原始文件刪除。如果用戶中病毒後，安裝一些軟件進行解密，或進行反覆的數據恢復嘗試操作，反而最終造成有希望恢復的文件徹底無法恢復。理論上，使用專用的數據恢復軟件，是有可能找迴文件的，但一定是有處理經驗的專業選手來操作。

四、如何正確的恢複數據？

1、歷史備份數據進行還原。如果事前進行了文件備份，那麼只需要恢復文件即可。

2、使用解密工具。絕大多數病毒均使用國際標準的算法進行加密，不知道密碼的情況下，理論上十萬年普通電腦才能破解。

3、部分勒索病毒可以用工具解密。

通過網站 http://lesuobingdu.360.cn查詢哪些勒索病毒可以解密。

4、專業人員代付贖金。不建議自己付贖金。

5、重裝系統。如果覺得文件無用，可以直接把電腦全部格式化。

五、政企用戶如何防勒索病毒？

1、安裝終端安全軟件、及時打補丁。

2、部署加固軟件。

3、使用足夠複雜的服務器登陸密碼。

4、定期進行核心文件備份。

5、關閉不常用的端口。