第一章如何判斷病情如何判斷服務器中了勒索病毒呢？勒索病毒區(qū)別于其他病毒的明顯特征：加密受害者主機的文檔和數(shù)據(jù)，然后對受害者實施勒索，從中非法謀取私利。

勒索病毒的收益極高，所以大家才稱之為“勒索病毒”。

勒索病毒的主要目的既然是為了勒索，那么黑客在植入病毒完成加密后，必然會提示受害者您的文件已經(jīng)被加密了無法再打開，需要支付贖金才能恢復文件。

所以，勒索病毒有明顯區(qū)別于一般病毒的典型特征。

如果服務器出現(xiàn)了以下特征，即表明已經(jīng)中了勒索病毒。

一、業(yè)務系統(tǒng)無法訪問以來，勒索病毒的攻擊不再局限于加密核心業(yè)務文件；轉(zhuǎn)而對企業(yè)的服務器和業(yè)務系統(tǒng)進行攻擊，感染企業(yè)的關(guān)鍵系統(tǒng)，破壞企業(yè)的日常運營；甚至還延伸至生產(chǎn)線——生產(chǎn)線不可避免地存在一些遺留系統(tǒng)和各種硬件難以升級打補丁等原因，一旦遭到勒索攻擊的直接后果就是生產(chǎn)線停產(chǎn)。

比如：2月，某三甲醫(yī)院遭遇勒索病毒，全院所有的醫(yī)療系統(tǒng)均無法正常使用，正常就醫(yī)秩序受到嚴重影響；同年8月，臺積電在臺灣北、中、南三處重要生產(chǎn)基地，均因勒索病毒入侵導致生產(chǎn)停擺。

但是，當業(yè)務系統(tǒng)出現(xiàn)無法訪問、生產(chǎn)線停產(chǎn)等現(xiàn)象時，并不能100%確定是服務器感染了勒索病毒，也有可能是遭到DDoS攻擊或是中了其他病毒等原因所致，所以，還需要結(jié)合以下特征來判斷。

二、電腦桌面被篡改服務器被感染勒索病毒后，最明顯的特征是電腦桌面發(fā)生明顯變化，即：桌面通常會出現(xiàn)新的文本文件或網(wǎng)頁文件，這些文件用來說明如何解密的信息，同時桌面上顯示勒索提示信息及解密聯(lián)系方式，通常提示信息英文較多，中文提示信息較少。

下面為電腦感染勒索病毒后，幾種典型的桌面發(fā)生變化的示意圖。

三、文件后綴被篡改服務器感染勒索病毒后，另外一個典型特征是：辦公文檔、照片、視頻等文件的圖標變?yōu)椴豢纱蜷_形式，或者文件后綴名被篡改。

一般來說，文件后綴名會被改成勒索病毒家族的名稱或其家族代表標志，如：GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等；Satan家族的后綴.satan、sicck；Crysis家族的后綴有.ARROW、.arena等。

下面為電腦感染勒索病毒后，幾種典型的文件后綴名被篡改或文件圖標變?yōu)椴豢纱蜷_的示意圖。

當我們看到上述三個現(xiàn)象的時候，說明服務器已經(jīng)遭到勒索病毒的攻擊，此時，如果我們倉促的進行不正確的處置，反而可能會進一步擴大自己的損失。

所以，請保持冷靜不要驚慌失措，現(xiàn)在我們需要做的是如何最大化的減少損失，并阻止黑客繼續(xù)去攻擊其他服務器。

具體操作步驟請見下一章。

第二章如何進行自救當我們已經(jīng)確認感染勒索病毒后，應當及時采取必要的自救措施。

之所以要進行自救，主要是因為：等待專業(yè)人員的救助往往需要一定的時間，采取必要的自救措施，可以減少等待過程中，損失的進一步擴大。

例如：與被感染主機相連的其他服務器也存在漏洞或是有缺陷，將有可能也被感染。

所以，采取自救措施的目的是為了及時止損，將損失降到最低。

一、正確處置方法(一)隔離中招主機處置方法當確認服務器已經(jīng)被感染勒索病毒后，應立即隔離被感染主機，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網(wǎng)或斷電；訪問控制主要是指對訪問網(wǎng)絡資源的權(quán)限進行嚴格的認證和控制。

1）物理隔離物理隔離常用的操作方法是斷網(wǎng)和關(guān)機。

斷網(wǎng)主要操作步驟包括：拔掉網(wǎng)線、禁用網(wǎng)卡，如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡。

2）訪問控制訪問控制常用的操作方法是加策略和修改登錄密碼。

加策略主要操作步驟為：在網(wǎng)絡側(cè)使用安全設(shè)備進行進一步隔離，如防火墻或終端安全監(jiān)測系統(tǒng)；避免將遠程桌面服務（RDP，默認端口為3389）暴露在公網(wǎng)上（如為了遠程運維方便確有必要開啟，則可通過VPN登錄后才能訪問），并關(guān)閉445、139、135等不必要的端口。

修改登錄密碼的主要操作為：立刻修改被感染服務器的登錄密碼；其次，修改同一局域網(wǎng)下的其他服務器密碼；第三，修改最高級系統(tǒng)管理員賬號的登錄密碼。

修改的密碼應為高強度的復雜密碼，一般要求：采用大小寫字母、數(shù)字、特殊符號混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15位、兩種組合以上）。

處置原理隔離的目的，一方面是為了防止感染主機自動通過連接的網(wǎng)絡繼續(xù)感染其他服務器；另一方面是為了防止黑客通過感染主機繼續(xù)操控其他服務器。

有一類勒索病毒會通過系統(tǒng)漏洞或弱密碼向其他主機進行傳播，如WannaCry勒索病毒，一旦有一臺主機感染，會迅速感染與其在同一網(wǎng)絡的其他電腦，且每臺電腦的感染時間約為1-2分鐘左右。

所以，如果不及時進行隔離，可能會導致整個局域網(wǎng)主機的癱瘓。

另外，近期也發(fā)現(xiàn)有黑客會以暴露在公網(wǎng)上的主機為跳板，再順藤摸瓜找到核心業(yè)務服務器進行勒索病毒攻擊，造成更大規(guī)模的破壞。

當確認服務器已經(jīng)被感染勒索病毒后，應立即隔離被感染主機，防止病毒繼續(xù)感染其他服務器，造成無法估計的損失。

(二)排查業(yè)務系統(tǒng)處置方法在已經(jīng)隔離被感染主機后，應對局域網(wǎng)內(nèi)的其他機器進行排查，檢查核心業(yè)務系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

處置原理業(yè)務系統(tǒng)的受影響程度直接關(guān)系著事件的風險等級。

評估風險，及時采取對應的處置措施，避免更大的危害。

另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利的恢復文件。

所以，當確認服務器已經(jīng)被感染勒索病毒后，并確認已經(jīng)隔離被感染主機的情況下，應立即對核心業(yè)務系統(tǒng)和備份系統(tǒng)進行排查。

二、錯誤處置方法(一)使用移動存儲設(shè)備錯誤操作當確認服務器已經(jīng)被感染勒索病毒后，在中毒電腦上使用U盤、移動硬盤等移動存儲設(shè)備。

錯誤原理勒索病毒通常會對感染電腦上的所有文件進行加密，所以當插上U盤或移動硬盤時，也會立即對其存儲的內(nèi)容進行加密，從而造成損失擴大。

從一般性原則來看，當電腦感染病毒時，病毒也可能通過U盤等移動存儲介質(zhì)進行傳播。

所以，當確認服務器已經(jīng)被感染勒索病毒后，切勿在中毒電腦上使用U盤、移動硬盤等設(shè)備。

(二)讀寫中招主機上的磁盤文件錯誤操作當確認服務器已經(jīng)被感染勒索病毒后，輕信網(wǎng)上的各種解密方法或工具，自行操作。

反復讀取磁盤上的文件后反而降低數(shù)據(jù)正確恢復的概率。

錯誤原理很多流行勒索病毒的基本加密過程為：1）首先，將保存在磁盤上的文件讀取到內(nèi)存中；2）其次，在內(nèi)存中對文件進行加密；3）最后，將修改后的文件重新寫到磁盤中，并將原始文件刪除。

也就是說，很多勒索病毒在生成加密文件的同時，會對原始文件采取刪除操作。

理論上說，使用某些專用的數(shù)據(jù)恢復軟件，還是有可能部分或全部恢復被加密文件的。

而此時，如果用戶對電腦磁盤進行反復的讀寫操作，有可能破壞磁盤空間上的原始文件，最終導致原本還有希望恢復的文件徹底無法恢復。

第三章如何恢復系統(tǒng)感染勒索病毒后，對于政企機構(gòu)來說，最重要的就是怎么恢復被加密的文件了。

一般來說，可以通過歷史備份、解密工具或支付贖金來恢復被感染的系統(tǒng)。

但是這三種操作都有一定的難度，因此，建議受害者不要自行操作。

如果您想恢復系統(tǒng)，請聯(lián)系專業(yè)的技術(shù)人員或安全廠商，確保贖金的支付和解密過程正確進行，避免其他不必要的損失。

一、歷史備份還原如果事前已經(jīng)對文件進行了備份，那么我們將不會再擔憂和煩惱。

可以直接從云盤、硬盤或其他災備系統(tǒng)中，恢復被加密的文件。

值得注意的是，在文件恢復之前，應確保系統(tǒng)中的病毒已被清除，已經(jīng)對磁盤進行格式化或是重裝系統(tǒng)，以免插上移動硬盤的瞬間，或是網(wǎng)盤下載文件到本地后，備份文件也被加密。

事先進行備份，既是最有效也是成本最低的恢復文件的方式。

二、解密工具恢復絕大多數(shù)勒索病毒使用的加密算法都是國際公認的標準算法，這種加密方式的特點是，只要加密密鑰足夠長，普通電腦可能需要數(shù)十萬年才能夠破解，破解成本是極高的。

通常情況，如果不支付贖金是無法解密恢復文件的。

但是，對于以下三種情況，可以通過360提供的解密工具恢復感染文件。

1）勒索病毒的設(shè)計編碼存在漏洞或并未正確實現(xiàn)加密算法2）勒索病毒的制造者主動發(fā)布了密鑰或主密鑰。

3）執(zhí)法機構(gòu)查獲帶有密鑰的服務器，并進行了分享。

需要注意的是：使用解密工具之前，務必要備份加密的文件，防止解密不成功導致無法恢復數(shù)據(jù)。

三、專業(yè)人員代付勒索病毒的贖金一般為比特幣或其他數(shù)字貨幣，數(shù)字貨幣的購買和支付對一般用戶來說具有一定的難度和風險。

具體主要體現(xiàn)在：1）統(tǒng)計顯示，95%以上的勒索病毒攻擊者來自境外，由于語言不通，容易在溝通中產(chǎn)生誤解，影響文件的解密。

2）數(shù)字貨幣交付需要在特定的交易平臺下進行，不熟悉數(shù)字貨幣交易時，容易人才兩空。

所以，即使支付贖金可以解密，也不建議自行支付贖金。

請聯(lián)系專業(yè)的安全公司或數(shù)據(jù)恢復公司進行處理，以保證數(shù)據(jù)能成功恢復。

四、重裝系統(tǒng)當文件無法解密，也覺得被加密的文件價值不大時，也可以采用重裝系統(tǒng)的方法，恢復系統(tǒng)。

但是，重裝系統(tǒng)意味著文件再也無法被恢復。

另外，重裝系統(tǒng)后需更新系統(tǒng)補丁，并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本，而且對于服務器也需要進行針對性的防黑加固。

第四章如何加強防護一、終端用戶安全建議對于普通終端用戶，我們給出以下建議，以幫助用戶免遭勒索病毒的攻擊：養(yǎng)成良好的安全習慣1）電腦應當安裝具有云防護和主動防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護功能，對安全軟件提示的各類風險行為不要輕易放行。

2）使用安全軟件的第三方打補丁功能對系統(tǒng)進行漏洞管理，第一時間給操作系統(tǒng)和IE、Flash等常用軟件打好補丁，定期更新病毒庫，以免病毒利用漏洞自動入侵電腦。

3）密碼一定要使用強口令，并且不同賬號使用不同密碼。

4）重要文檔數(shù)據(jù)應經(jīng)常做備份，一旦文件損壞或丟失，也可以及時找回。

減少危險的上網(wǎng)操作5）不要瀏覽來路不明的色情、賭博等不良信息網(wǎng)站，這些網(wǎng)站經(jīng)常被用于發(fā)動掛馬、釣魚攻擊。

6）不要輕易打開陌生人發(fā)來的郵件附件或郵件正文中的網(wǎng)址鏈接。

7）不要輕易打開后綴名為js、vbs、wsf、bat等腳本文件和exe、scr等可執(zhí)行程序，對于陌生人發(fā)來的壓縮文件包，更應提高警惕，應先掃毒后打開。

8）電腦連接移動存儲設(shè)備，如U盤、移動硬盤等，應首先使用安全軟件檢測其安全性。

9）對于安全性不確定的文件，可以選擇在安全軟件的沙箱功能中打開運行，從而避免木馬對實際系統(tǒng)的破壞。

二、政企用戶安全建議1）安裝天擎等終端安全軟件，及時給辦公終端打補丁修復漏洞，包括操作系統(tǒng)以及第三方應用的補丁。

2）針對政企用戶的業(yè)務服務器，除了安裝殺毒軟件還需要部署安全加固軟件，阻斷黑客攻擊。

3）企業(yè)用戶應采用足夠復雜的登錄密碼登錄辦公系統(tǒng)或服務器，并定期更換密碼，嚴格避免多臺服務器共用同一個密碼。

4）對重要數(shù)據(jù)和核心文件及時進行備份，并且備份系統(tǒng)與原系統(tǒng)隔離，分別保存。

5）安裝天眼等安全設(shè)備，增加全流量威脅檢測手段，實時監(jiān)測威脅、事件。

6）如果沒有使用的必要，應盡量關(guān)閉不必要的常見網(wǎng)絡端口，比如：445、3389等。

7）提高安全運維人員職業(yè)素養(yǎng)，除工作電腦需要定期進行木馬病毒查殺外，如有遠程家中辦公電腦也需要定期進行病毒木馬查殺。

8）提升新興威脅對抗能力通過對抗式演習，從安全的技術(shù)、管理和運營等多個維度出發(fā)，對企業(yè)的互聯(lián)網(wǎng)邊界、防御體系及安全運營制度等多方面進行仿真檢驗，持續(xù)提升企業(yè)對抗新興威脅的能力。