勒索软件一旦攻击成功_发生勒索软件攻击应对措施

勒索病毒怎么解决

勒索病毒的解决如下：

1、及时止损（拔网线）。

能拔网线的直接拔网线，物理隔离，防止出现「机传机」的现象。如果是云环境，没法拔网线，赶紧修改安全组策略，总之，将被感染的机器隔离，确保被感染的机器不能和内网其他机器通讯，防止内网感染。

改密码！如果被勒索的机器和未被勒索的机器存在相同的登陆口令（相同的密码），及时修改未感染机器的登陆口令。

保护好案发现场，不要重启！不要破坏被勒索的机器环境，保护好案发现场。禁止杀毒/关机/重启/修改后缀等操作，最好保持原封不动，在不了解的情况下，任何动作都可能导致系统完全崩溃，严重影响后续动作。

关端口及时关闭未感染机器远程桌面/共享端口（如：22/135/139/445/3389/3306/1521）对未感染的重要机器进行隔离备份，备份后及时物理隔离开备份数据，如：硬盘或者 u 盘备份后需要及时拔掉。

不要联系黑客，在不了解勒索病毒的情况下，建议不要直接联系黑客（容易钱财两空）。

2、确定影响范围。

止损之后，逐一排查感染规模及环境（是 OA 还是服务器/一共中了多少台），可通过网络区域划分，防火墙设备、流量检测设备辅助快速确认影响范围。

3、病毒提取和网络恢复。

取证，通过对被勒索机器进行取证提取病毒样本，或结合终端防病毒软件，对影响区域内或可疑区域进行逐台确认，是否有遗留的病毒样本，确保所有机器上的病毒样本均已查杀；恢复网络制定网络恢复计划，优先对非重要区域的终端进行网络恢复，恢复过程中需通过流量检测设备进行实时监测，确保恢复后不会出现横移情况；直至全部网络恢复。

4、数据恢复和解密。

目前绝大多数勒索病毒均无法解密（在没有拿到解密密钥的情况下），通常有如下几种选择：如有数据备份，则可以直接通过数据备份进行恢复；放弃数据恢复；联系勒索者缴纳赎金，但是不建议自己联系，最好是专业的服务商协助，他们比较知道怎么跟勒索者谈判。

5、溯源分析。

溯源分析的目的，并不是是查到勒索者是谁，而是找到勒索入侵的源头（从哪台机器上进来的），即 0 号主机，然后进行相应的安全加固，以避免以后再次发生类似攻击。基于加密文件后缀、勒索信等特征，可以判断勒索病毒家族；

对于内部攻击路径溯源，需依托于网络、安全设备日志以及感染/关联终端日志记录，包括流量检测设备、防火墙设备、防病毒软件、终端日志。 备注：因为很多勒索病毒存在反侦察手段，终端环境可能会被清理，如果没有流量监控等相关设备，溯源难度会非常大。

6、安全加固。

修复内网中高危漏洞，确保如永恒之蓝等漏洞相关的安全补丁安装。在不影响业务的前提下关闭高危端口，如：445、3389等。对重要系统进行异地物理备份，确保备份完成后主备处于物理隔离状态。将内网按照业务需求划分合理区域，各个区域之间使用严格的ACL，避免攻击者大范围横向移动扩散。

如何防范勒索病毒

勒索病毒防范指南

中国此次遭受攻击的主要是教育网用户。这种勒索软件利用微软“视窗”操作系统445端口的漏洞，国内一些网络运营商此前已封掉了该端口，但教育网并未设限。微软此前已发布相关漏洞补丁，但一些没来得及更新的电脑就会被攻击。

电脑被这种勒索软件感染后，其中文件会被加密，支付黑客所要求赎金后才能解密恢复。据悉，勒索金额最高达5个比特币，目前价值人民币5万多元。

勒索软件在全球多国的猖獗行为也“惹毛”了微软，据该公司官网消息，微软专门为已经不受支持的.Windows XP，Windows 8和Windows Server 2003版本推出了特别版补丁。

未来一周仍然是企业办公电脑的“危险期”。“周一又会有很多办公电脑重新开工，估计又会出现一轮爆发的情况，但是未来随着大家都开始给电脑打补丁、用工具杀毒，这种病毒的影响会逐步减弱。”

应对方法：

1、数据备份和恢复措施是发生被勒索事件挽回损失的重要工作。建议各位老师及时对重要文件数据做好异地备份或云备份，以防感染病毒造成损失。

2、确保所使用电脑防火墙处于打开状态。

3、不要轻易打开不明邮件或链接。

临时解决方案：

开启系统防火墙

利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)

打开系统自动更新，并检测更新进行安装

360公司发布的“比特币勒索病毒”免疫工具下载地址：

小伙伴们，我们要对不明链接、文件和邮件要提高警惕，加强防范。

2021勒索病毒怎么解决

针对勒索病毒应急处理方法：

1、断网处理，防止勒索病毒内网传播感染，造成更大的损失。

2、查找样本和勒索相关信息，确认是哪个勒索病毒家族的样本。

3、确认完勒索病毒家族之后，看看是否有相应的解密工具，可以进行解密。

4、进行溯源分析，确认是通过哪种方式传播感染的进来的，封堵相关的安全漏洞。

5、做好相应的安全防护工作，以防再次感染。找专业的网络安全供应商帮助你规划网络安全，评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性。

勒索病毒往往利用一些操作系统漏洞实施攻击，这也是其重要的特征之一。大部分安全软件通过代码扫描方式判断目标程序是否为钻漏洞的恶意程序。

不过，这就出现了问题，一旦勒索软件使用了一种刚刚发现的、安全软件未覆盖的新漏洞，则其几乎可以畅通无阻地攻入目标系统。换句话说，常规安全软件可以防御已经出现过的勒索病毒，但很难防御使用新漏洞的新型勒索病毒。

防范勒索软件最有效的手段是

安全意识培训：对员工和广大计算机用户进行持续的安全教育培训是十分必要的，应当让用户了解勒索软件的传播方式，如社交媒体、社会工程学、不可信网站、不可信下载源、垃圾邮件和钓鱼邮件等。通过案例教育使用户具备一定的风险识别能力和意识。

2. 电子邮件安全：钓鱼邮件是目前勒索软件传播的主要方式，有条件的单位和用户应该部署电子邮件防护产品，对所有的电子邮件附件进行病毒扫描。

3. 采用多层防护的网络安全策略：很多勒索软件与高级网络攻击相结合，单一的防护手段无法抵御，应该采取多种防护手段相结合方式搭建多层的网络安全防护体系，如：高级威胁防护、网关防病毒、入侵防御以及其他基于网络的安全防护手段。

4. 终端防护：由于终端的可以移动性，很容易将来自外部的威胁（包括勒索软件）带入内部网络，因此应该对包括移动终端在内的所有主机进行防护，采取的措施除了安装传统的杀毒软件外，还应包括补丁管理、Web内容过滤以及主动防护类的病毒防护产品等。

5. 网络隔离：目前勒索软件已经可以通过局域网传播，为了防止勒索软件的扩散，应该采取有效的网络隔离措施，将关键的业务服务程序、数据和设备隔离到独立的网络中，防止来自网络的感染。

6. 数据备份和恢复：可靠的数据备份可以将勒索软件带来的损失最小化，但同时也要对这些数据备份进行安全防护，避免被感染和损坏。

7. 对加密网络流量的监测：当前采用SSL/TLS加密的Web服务越来越多，如果勒索软件通过加密的Web服务传播，就能够绕过传统的防护手段。因此，必须采取支持SSL监测的防护手段，检测SSL加密会话中存在的威胁。

标签：发生勒索软件攻击应对措施