当勒索病毒把你的重要文件给锁定了,仅仅只是进行惊慌或者支付赎金通常来讲可不是最佳的选择,而是一套有着系统性、冷静特质的策略才是能够夺回控制权的可靠路径 。
立即隔离阻断传播
一经察觉到设备出现异常状况,首要的行动便是实施物理断网操作,将网线拔除,把Wi-Fi予以关闭,同时关闭蓝牙,即刻把处于感染状态的设备与内部网络再者互联网之间的全部连接予以切断,如此这般能够防止病毒进一步对网络共享文件进行加密,或者对归属同一局域网范围之内的其他电脑以及服务器发起攻击 。
与此同时,应当即刻将受感染设备的系统予以关闭,或者进入安全模式。不要去尝试自行把已被加密的文件打开或者修改,如此这般可能致使文件遭受二次破坏,进而增加后期恢复的难度。让设备维持当前状态,对于后续有可能进行的取证分析而言至关重要。
全面评估受损情况
进行隔离后,是需要去评估其影响范围的,要检查那些近期和该设备存在数据交换的别的计算机,还有移动设备,以及云端同步的文件夹,以此来确认勒索软件是不是已经扩散了,与此同时,要识别被加密数据的类型,像核心业务合同,包括财务数据,又或是珍贵的家庭照片以及视频 。
决策恢复优先级会因明确损失而得到促进。比如说,关键业务文档的紧急恢复是必要的,然而部分可替代的临时文件就得暂缓恢复。勒索病毒留下的勒索信信息要记录下来,其中涵盖加密后缀、联系邮箱等等,这些信息对后续找寻解密工具起着关键线索的作用。
彻底清除病毒本体
当确定把设备转为离线状态后者处于那种高度隔离的环境之后,要选用那种可信的离线安全工具来实施查杀处理,能够从另外一台干净的电脑上面下载经过病毒库更新的杀毒软件U盘版本,针对感染了病毒的电脑开展全盘的扫描操作,以此来清除病毒的主要部分以及那些有可能残留的组件。
可要留意了,将病毒清除仅仅是阻拦它持续进行加密,并非能够自动把已被锁定住的文件解开。千万不要在还没清除病毒之前就尝试去恢复文件,如此这般有可能致使文件被再次加密起来。有一部分复杂的病毒会驻留在系统恢复分区那里,在必要之时需要一并进行清理 。
探索数据恢复可能
数据恢复存在种类繁多的途径,首先,能够查询像是卡巴斯基、360这类国内外安全机构所发布的免费解密工具库,部分早期勒索病毒由于编码存在缺陷而业已被破解;其次,要检查系统是不是启用了“卷影副本”功能,尝试借由文件属性里的“以前的版本”来进行恢复。
要是上面所讲的方法没有起到效果,并且数据的价值非常高,那么可以考虑去联系专业的数据恢复机构。他们拥有更为专业的工具来处理一部分加密类型。不过需要对网络上宣称能够解密的虚假服务保持警惕,防止遭遇二次诈骗以及数据泄露。
从可靠备份中恢复
数据安全的基石是备份,去找到像外部硬盘或者云端历史版本那样离线且未被感染的备份介质,进而开始恢复数据,最为关键的是,备份得与生产系统进行物理隔离,于非备份时段维持离线状态,以此防止被病毒一同加密。
需要定期去验证备份的可用性,举例来说,每一个季度开展一回恢复演练,以此来确认备份文件是完整的,并且恢复流程是顺畅的。而对于企业来讲,应当采用“3-2-1”备份策略,也就是至少要有三份副本,存在两种不一样的介质像硬盘加上云这种情况,还有一份要在异地进行保存。
加固系统预防再发
数据恢复完成之后,要对系统进行彻底的加固操作。最为安全的那种方式,是将硬盘进行格式化处理,再从官方的渠道那儿重新去安装操作系统以及所有的软件。等到重装完成以后,要立刻给操作系统、应用软件以及安全工具都安装好所有最新的补丁,以此来修补那些有可能会被利用的安全漏洞。
长久防护得落实基础安全举措,开启系统防火墙,日常运用标准用户账户而非管理员账户,关闭非必要的远程访问服务,如RDP,为所有账户设置强密码并启用多因素认证,与此同时,定期给员工开展安全意识培训,防范钓鱼邮件。
遭遇数字资产遭勒索这般的困境时,哪一项举措——是即刻进行断网隔离,还是预先有着完备的离线备份——你觉得在关键节点上最能够助力你扭转态势呢?欢迎于评论区分享你的见解,要是本文对你有益处,请点赞予以支持。
