遭遇勒索病毒后如何進行自救

當已經確認感染勒索病毒后，應當及時采取必要的自救措施。自救方法如下：

隔離“中招”主機

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，隔離主要包括物理隔離和訪問控制兩種手段。

① 物理隔離

物理隔離常用的操作方法是斷網和關機。

② 訪問控制

訪問控制常用的操作方法是加策略和修改登錄密碼。

加策略主要操作步驟為：在網絡側使用安全設備進行進一步隔離，如使用防火墻或終端安全監測系統；避免將遠程桌面服務（默認端口為3389）暴露在公網上（如為了遠程運維方便確有必要開啟，則可通過VPN登錄后訪問），并關閉445、139、135等不必要的端口。

修改登錄密碼主要操作步驟為：第一，立刻修改被感染服務器的登錄密碼；第二，修改同一局域網下其他服務器的密碼；第三，修改最高級系統管理員賬號的登錄密碼。修改的密碼應為高強度的復雜密碼，一般要求為：采用大小寫字母、數字、特殊符號混合的組合結構，位數應足夠長（15位、兩種組合以上）。

排查業務系統

在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

業務系統的受影響程度直接關系著事件的風險等級。因此，應及時評估風險，采取對應的處置措施，避免更大的危害。

另外，備份系統如果是安全的，就可以避免支付贖金，順利恢復文件。

當確認服務器已經被感染勒索病毒，并確認已經隔離被感染主機后，應立即對核心業務系統和備份系統進行排查。

聯系專業人員

在應急自救處置后，建議第一時間聯系專業的技術人員或安全從業者，對事件的感染時間、傳播方式、感染家族等問題進行排查。

回答所涉及的環境：聯想天逸510S、Windows 10。