中了勒索怎么办？？?

最近太多的企业用户因为中了勒索病毒而找到我们，我觉得我们有必要写篇文章来告诉大家，如何处理相关的问题。

一、阻断勒索病毒进一步扩散

发现中毒机器，首先应先阻断勒索病毒继续加密文件和进一步扩散，应在第一时间对中毒机器进行断网处理(关闭网络能阻止勒索病毒在内网横向传播以及攻击者对当前设备的持续控制)。

二、了解攻击具体情况

包括:

哪些机器受到攻击，影响情况如何，是否存在备份，备份是否可用。

哪些机器未受到攻击，是否可暂时隔离下线处理等。

对于中招情况不明，已经关闭下线的机器，如需排查损失情况，建议对磁盘或环境做备份后，在隔离网内开机或上线查看，以免有残存的开机自启动病毒再次启动后加密文件。

另外需要主要的是，管理员通过远程登录到被感染设备查看情况时，一定不要将本地磁盘映射过去。因为勒索病毒可能还在运行，映射过去会导致该磁盘文件被加密。

三、及时处理未感染设备，避免再次遭遇攻击

口令更换，因无法确定黑客掌握了内部多少机器的口令，同一内网下设备口令均应更换。

包括但不限于涉及远程桌面、mysql、mssql和Tomcat等任何涉及网络登录的口令。漏洞短时间内无法修补的，坚决不能再次上线。

根据排查发现的攻击方式与隐患，及时修补

在未完成全部检查前，有机器需要上线的，应关闭文件共享，如果无法关闭的，应该限制访问权限，内网中可能还有尚未找到的被感染机器，有文件共享的话，共享文件可能 会被加密。

四、中毒设备处理

中招设备如果要再次投入使用的，应该对安全问题进行一一排查，建议进行如下

操作:格式化磁盘、重装系统、恢复系统等彻底破坏中招环境的其它操作。

彻底删除发现的可疑程序，病毒文件。

清除所有的勒索信息和被加密文件，这可能会影响后续文件的恢复。

重要内容向下看

五、解密恢复

哪怕是已经被勒索的数据，也要进行一次数据备份处理。

不要指望有人可以解密被勒索的数据，这是不可能的。

如果没有完善的备份，只能想办法交赎金。

切勿用公司邮箱与小黑就赎金问题进行商讨，可能会多支付一倍的费用。

如需相关支持，请联系德斯克处理。