當(dāng)確認(rèn)感染勒索病毒后，應(yīng)當(dāng)及時(shí)采取必要的自救措施。之所以要進(jìn)行自救，主要是因?yàn)椋旱却龑I(yè)人員的救助往往需要一定的時(shí)間，采取必要的自救措施，可以減少等待過程中，損失的進(jìn)一步擴(kuò)大。例如：與被感染主機(jī)相連的其他服務(wù)器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取自救措施的目的是為了及時(shí)止損，將損失降到最低。

一、隔離中招主機(jī)

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網(wǎng)或斷電；訪問控制主要是指對訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。

1.物理隔離

物理隔離常用的操作方法是斷網(wǎng)和關(guān)機(jī)。斷網(wǎng)主要操作步驟包括：拔掉網(wǎng)線、禁用網(wǎng)卡，如果是筆記本電腦還需關(guān)閉無線網(wǎng)絡(luò)。

2.訪問控制

訪問控制常用的操作方法是加策略和修改登錄密碼。加策略主要操作步驟為：在網(wǎng)絡(luò)側(cè)使用安全設(shè)備進(jìn)行進(jìn)一步隔離，如防火墻或終端安全監(jiān)測系統(tǒng)；避免將遠(yuǎn)程桌面服務(wù)（RDP，默認(rèn)端口為3389）暴露在公網(wǎng)上（如為了遠(yuǎn)程運(yùn)維方便確有必要開啟，則可通過VPN登錄后才能訪問），并關(guān)閉445、139、135等不必要的端口。修改登錄密碼的主要操作為：立刻修改被感染服務(wù)器的登錄密碼；其次，修改同一局域網(wǎng)下的其他服務(wù)器密碼；第三，修改最高級(jí)系統(tǒng)管理員賬號(hào)的登錄密碼。修改的密碼應(yīng)為高強(qiáng)度的復(fù)雜密碼，一般要求：采用大小寫字母、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)，口令位數(shù)足夠長（15位、兩種組合以上）。

3.處置原理

隔離的目的，一方面是為了防止感染主機(jī)自動(dòng)通過連接的網(wǎng)絡(luò)繼續(xù)感染其他服務(wù)器；另一方面是為了防止黑客通過感染主機(jī)繼續(xù)操控其他服務(wù)器。有一類勒索病毒會(huì)通過系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)行傳播，如WannaCry勒索病毒，一旦有一臺(tái)主機(jī)感染，會(huì)迅速感染與其在同一網(wǎng)絡(luò)的其他電腦，且每臺(tái)電腦的感染時(shí)間約為1-2分鐘左右。所以，如果不及時(shí)進(jìn)行隔離，可能會(huì)導(dǎo)致整個(gè)局域網(wǎng)主機(jī)的癱瘓。另外，近期也發(fā)現(xiàn)有黑客會(huì)以暴露在公網(wǎng)上的主機(jī)為跳板，再順藤摸瓜找到核心業(yè)務(wù)服務(wù)器進(jìn)行勒索病毒攻擊，造成更大規(guī)模的破壞。當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)立即隔離被感染主機(jī)，防止病毒繼續(xù)感染其他服務(wù)器，造成無法估計(jì)的損失。系統(tǒng)

二、排查業(yè)務(wù)系統(tǒng)

  在已經(jīng)隔離被感染主機(jī)后，應(yīng)對局域網(wǎng)內(nèi)的其他機(jī)器進(jìn)行排查，檢查核心業(yè)務(wù)系統(tǒng)是否受到影響，生產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。

業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的風(fēng)險(xiǎn)等級(jí)。評估風(fēng)險(xiǎn)，及時(shí)采取對應(yīng)的處置措施，避免更大的危害。另外，備份系統(tǒng)如果是安全的，就可以避免支付贖金，順利的恢復(fù)文件。所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下，應(yīng)立即對核心業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)行排查。

三、聯(lián)系專業(yè)人員

   在應(yīng)急自救處置后，建議第一時(shí)間聯(lián)系專業(yè)的技術(shù)人士或安全從業(yè)者，對事件的感染時(shí)間、傳播方式，感染家族等問題進(jìn)行排查。

四、錯(cuò)誤處置方法

1.使用移動(dòng)存儲(chǔ)設(shè)備

（1）錯(cuò)誤操作

當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，在中毒電腦上使用U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。

（2）錯(cuò)誤原理

   勒索病毒通常會(huì)對感染電腦上的所有文件進(jìn)行加密，所以當(dāng)插上U盤或移動(dòng)硬盤時(shí)，也會(huì)立即對其存儲(chǔ)的內(nèi)容進(jìn)行加密，從而造成損失擴(kuò)大。從一般性原則來看，當(dāng)電腦感染病毒時(shí)，病毒也可能通過U盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行傳播。

   所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，切勿在中毒電腦上使用U盤、移動(dòng)硬盤等設(shè)備。

2.讀寫中招主機(jī)上的磁盤文件

（1）錯(cuò)誤操作

   當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，輕信網(wǎng)上的各種解密方法或工具，自行操作。反復(fù)讀取磁盤上的文件后反而降低數(shù)據(jù)正確恢復(fù)的概率。

（2）錯(cuò)誤原理

很多流行勒索病毒的基本加密過程為：

1）首先，將保存在磁盤上的文件讀取到內(nèi)存中；

2）其次，在內(nèi)存中對文件進(jìn)行加密；

3）最后，將修改后的文件重新寫到磁盤中，并將原始文件刪除。

也就是說，很多勒索病毒在生成加密文件的同時(shí)，會(huì)對原始文件采取刪除操作。理論上說，使用某些專用的數(shù)據(jù)恢復(fù)軟件，還是有可能部分或全部恢復(fù)被加密文件的。而此時(shí)，如果用戶對電腦磁盤進(jìn)行反復(fù)的讀寫操作，有可能破壞磁盤空間上的原始文件，最終導(dǎo)致原本還有希望恢復(fù)的文件徹底無法恢復(fù)