中了勒索病毒之后的处理流程

中了勒索病毒之后的处理流程如下：

1、隔离被感染的服务器主机

计算机中毒重要是跟外部的网络保持连接接触，中了病毒的网络设备，要及时切断网络连接。拔掉中毒主机网线，断开主机与网络的连接，同时还要注意关闭主机的无线网络、蓝牙连接等，并拔掉连接在主机上的所有外部存储设备。

2、确定被感染的范围

切断服务器主机与外界的连接后，接下来需要查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器，以及主机上云存储中的文件等，是否已经全部被加密了，检查确定哪些文件还没有被加密处理。

3、查看日志信息，溯源分析

主机被勒索病毒加密之后，查看日志服务信息，看看黑客在主机上留上一些什么勒索提示信息，确定是哪一种勒索病毒，判断此勒索病毒可能是通过哪种方式进来的。比如有些是通过网页挂马方式传播，有的是通过远程控制程序下载传播，也有可能是通过开放的业务端口进来的。

4、系统修复

在确定了病毒样式，提取主机日志，进行溯源分析之后，找到相应的漏洞，则要进行系统的修复工作。彻底清除病毒，安装高强度防火墙，防病毒软件等。关闭不必要的端口、网络共享、打上相应的漏洞补丁，同时也需要及时修改主机密码，防止被二次感染勒索病毒。

5、数据和业务的恢复

前一篇提到过的数据备份是一个重要的 *** 作习惯，如果主机上的数据存在备份，则可以利用备份数据快速恢复业务。

试试腾讯电脑管家，加入全球著名的小红伞病毒查杀引擎，极大提升了电脑管家的木马病毒查杀性能，而木马病毒查杀性能的提升又必将进一步提升管家的整体性能，体验更加卓越
腾讯电脑管家已经发展成为一款全能型的系统安全辅助工具，好用又免费，绝对可以称得上是一个难得的安全软件

1、第一时间隔离被感染主机与其他主机，防止勒索病毒的进一步扩散。
2、对被感染主机所在区域的主机进行安全风险排查，包括黑客账户、开放端口、漏洞、不安全配置（弱密码等）、恶意程序（木马后门）等。
3、利用备份数据重新搭建全新的平台。新平台搭建完成后，对主机进行安全加固，防止再次感染勒索病毒。

一、历史备份还原
如果已经对系统或者文件进行了备份，那么将不会再担忧和烦恼了。可以直接从云盘、硬盘或其他灾备系统中，恢复被加密的文件。值得注意的是，在文件恢复之前，第一要隔离中招主机，还要确保系统中的病毒已被清除，已经对磁盘进行格式化或者是重装了系统，以免插上移动硬盘的瞬间，或是网盘下载文件到本地后，备份文件也被加密。
事先进行备份，既是最有效也是成本最低的恢复文件和系统的方式。
二、解密工具恢复
绝大多数勒索病毒使用的加密算法都是国际公认的标准算法，这种加密方式的特点是，只要加密密钥足够长，普通电脑可能需要数十万年才能够破解，破解成本是极高的。通常情况，如果不支付赎金是无法解密恢复文件的。
但是，对于以下三种情况，可以通过互联网上的解密工具恢复感染文件。
1）勒索病毒的设计编码存在漏洞或并未正确实现加密算法。
2）勒索病毒的制造者主动发布了密钥或主密钥。
3）执法机构查获带有密钥的服务器，并进行了分享。
需要注意的是：使用解密工具之前，务必要备份加密的文件，防止解密不成功导致无法恢复数据。
三、专业人员代付
勒索病毒的赎金一般为比特币或者其他数字货币，数字货币的购买和支付对一般用户来说具有一定的难度和风险。具体主要体现在：
1）统计显示，95%以上的勒索病毒攻击者来自境外，由于语言不通，容易在沟通上产生误解，影响文件的解密。
2）数字货币交付需要在特定的交易平台下进行，不熟悉数字货币交易时，容易人才两空。
所以，即使支付赎金可以解密，也不建议自行支付赎金。建议联系专业的数据恢复公司进行处理，以保证数据能成功安全的恢复。

针对勒索病毒应急处理方法：

1、断网处理，防止勒索病毒内网传播感染，造成更大的损失。

2、查找样本和勒索相关信息，确认是哪个勒索病毒家族的样本。

3、确认完勒索病毒家族之后，看看是否有相应的解密工具，可以进行解密。

4、进行溯源分析，确认是通过哪种方式传播感染的进来的，封堵相关的安全漏洞。

5、做好相应的安全防护工作，以防再次感染。找专业的网络安全供应商帮助你规划网络安全，评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性。

勒索病毒往往利用一些 *** 作系统漏洞实施攻击，这也是其重要的特征之一。大部分安全软件通过代码扫描方式判断目标程序是否为钻漏洞的恶意程序。

不过，这就出现了问题，一旦勒索软件使用了一种刚刚发现的、安全软件未覆盖的新漏洞，则其几乎可以畅通无阻地攻入目标系统。换句话说，常规安全软件可以防御已经出现过的勒索病毒，但很难防御使用新漏洞的新型勒索病毒。

详情如下：
步骤1：找准中毒原因，修复薄弱环节，避免二次中毒。
我强烈建议企业找专业的安全团队进行溯源分析。如果不想花费这个费用并且你自己具备钻研精神，那就从以下几个思路入手。
1从各类网络设备的日志中查找异常（防火墙日志）；
2从服务器 *** 作系统安全日志查找异常；（windows安全日志，下图中日志被黑客清空了）
3从客户端 *** 作系统查找异常；（客户端异常登录日志）
4：利用网络上免费的病毒溯源工具查找异常。
步骤2：格式化中毒的服务器并重装系统。强烈建议不要用GHOST版本系统安装。
GHOST版本系统有非常多的系统漏洞和预装软件的后门。如果企业单位批量电脑，建议自己动手做一个干净的母盘进行安装。个人电脑也建议用纯净版一步步安装。

---