怎么才能把勒索病毒攻擊帶來的影響降到最低？

勒索病毒

勒索病毒，是一種新型電腦病毒，主要以郵件、程序木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

據“火絨威脅情報系統”監測和評估，從2018年初到9月中旬，勒索病毒總計對超過200萬臺終端發起過攻擊，攻擊次數高達1700萬余次，且整體呈上升趨勢。2017年12月13日，“勒索病毒”入選國家語言資源監測與研究中心發布的“2017年度中國媒體十大新詞語”。由于近年來數字加密幣的流行，勒索病毒感染正處于愈演愈烈的態勢。

中招后的應對措施

當我們已經確認感染勒索病毒后，應當及時采取必要的自救措施。之所以要進行自救，主要是因為：等待專業人員的救助往往需要一定的時間，采取必要的自救措施，可以減少等待過程中，損失的進一步擴大。例如：與被感染主機相連的其他服務器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取自救措施的目的是為了及時止損，將損失降到最低。

正確處置方法

1、迅速隔離中招主機

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機。

隔離的目的，一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器；另一方面是為了防止黑客通過感染主機繼續操控其他服務器。

有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播，如WannaCry勒索病毒，一旦有一臺主機感染，會迅速感染與其在同一網絡的其他電腦，且每臺電腦的感染時間約為1-2分鐘左右。所以，如果不及時進行隔離，可能會導致整個局域網主機的癱瘓，造成無法估量的損失。

隔離主要包括物理隔離和訪問控制兩種手段。

①物理隔離

物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

②訪問控制

a.避免將遠程桌面服務（RDP，默認端口為3389）暴露在公網上，并關閉445、139、135等不必要的端口。

b.將服務器密碼修改為高強度的復雜密碼。

2、排查業務系統

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

另外，備份系統如果是安全的，就可以避免支付贖金，順利的恢復文件。

所以，當確認服務器已經被感染勒索病毒后，并確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。