本文目录导读:
面临勒索病毒的侵害,请先不要慌张,也不要试图自行处理(例如支付赎金或重装系统),以免造成不可逆的数据丢失或资金损失,请按照以下步骤冷静处理:
第一步:立即断网与隔离
这是阻止病毒加密更多文件或横向传播到局域网其他设备的第一步。
- 物理断网:立即拔掉电脑的网线、关闭Wi-Fi开关。
- 移除外接存储:拔出所有连接的U盘、移动硬盘、SD卡等。
- 关机(如必要):如果病毒正在疯狂加密文件,直接按住电源键强制关机,但如果只是弹出勒索窗口且暂未加密,建议保持开机状态。
第二步:切勿支付赎金
- 大概率没用:攻击者通常不会遵守承诺,收到钱后可能不给你密钥或再找你要一次钱。
- 资助犯罪:支付赎金只会助长勒索病毒的发展,下一个受害者可能就是你身边的人。
- 没有发票:这是非法行为,没有任何保障。
第三步:保留现场,寻求专业帮助
不要立即重装系统或格式化硬盘,这可能会彻底抹除恢复数据的机会。
- 不要重启、不要运行任何软件:保持当前状态。
- 联系安全公司或数据恢复机构:
- 国内:可以联系奇安信、深信服、安恒、绿盟、360等各大安全厂商的应急响应团队(很多提供免费初步咨询)。
- 国际:如果有条件,可以尝试联系卡巴斯基、SOPHOS等安全厂商。
- 警方:如果是公司或涉及重要数据,建议报警(拨打110或前往网安部门报案),警方会协同专业机构处理。
第四步:尝试确认病毒种类
如果能确定是哪种病毒,可能会找到已有的解密工具,可以查看:
- 勒索通知内容:勒索桌面或文件夹中的
README.txt、HOW_TO_RECOVER.txt文件,看是否提到特定的病毒名称、后缀名(.locked、.beijing、.play等)。 - 被加密文件的扩展名:文件被加了什么后缀?
- 勒索邮箱地址: 后面的域名(如
@cock.li、@protonmail.com)是重要线索。
可以使用的在线帮助:
- No More Ransom(欧洲刑警组织、卡巴斯基等联合发起)(No More Ransom)
- 工具名称:No More Ransom 解密工具库
- 作用:全球最大的免费勒索病毒解密工具集合,上传勒索通知或被加密的文件样本,可查找是否有公开解密工具。
- ID Ransomware(由网络安全研究者维护)(ID Ransomware)
- 工具名称:ID Ransomware 识别工具
- 作用:上传勒索病毒留下的
README文件、被加密的文件样本或黑客邮件地址,快速识别病毒家族。
第五步:如果数据极其重要,不要轻举妄动
如果情况紧急且数据价值极高,不要自己尝试任何恢复操作(包括运行反病毒软件、修复系统、硬盘碎片整理等)。
- 最佳做法:将关机后的硬盘拆下,接为从盘(或使用硬盘盒通过USB连接另一台干净的电脑)。
- 使用数据恢复软件:对于特定类型的勒索病毒(如部分只加密文件头、未完全覆盖原始数据的变种),使用专门的恢复软件(如 R-studio、GetDataBack)可能能扫描到原始文件碎片。
- 送回数据恢复公司:专业公司有专门的设备(如PC-3000)和干净环境,能最大化恢复可能性。
第六步:如果数据不重要,直接清空重装
- 格式化硬盘:彻底格式化所有分区。
- 重装系统:安装原版操作系统,不要使用不明来源的“Ghost”版或激活工具(很多勒索病毒藏在这些工具里)。
- 更新补丁:安装所有安全更新。
- 更换密码:重装后,立即更改所有网络密码(邮箱、公司系统、局域网共享密码等)。
如何预防(这次解决后必做)
- 备份备份备份:3-2-1 法则(3份数据、2种介质、1个异地/离线备份)。离线冷备份(如关机状态的硬盘、光盘) 是抵抗勒索病毒的唯一有效手段。
- 关闭远程桌面(RDP):如果非必要,关闭 3389 端口,如需使用,启用网络级别身份验证(NLA)并设置强密码。
- 禁用Office宏:不运行来源不明的Office文件中的宏。
- 安装正版杀毒软件(如火绒、卡巴斯基、360等)并开启实时防护。
- 保持系统和软件更新:特别是浏览器、Flash、Java、Office等常用软件。
- 不要点开可疑邮件:特别是自称是“发票”、“发货单”、“法院传票”的附件或链接。
断网、不付钱、找专家、备份是王道。 希望你能顺利解决!
