勒索病毒加密数据后的应急处理

自2017年至今，本人从事勒索病毒解密及数据库修复工做，近期在网上看了些关于中毒后该怎么作的贴子，说    法不少，以本人多年的从业经验来看，这些贴子说得不是太全面，有些操做甚至会对数据完全的破坏。下面结合本人多年从业经验来谈谈中了勒索病毒后，应该怎么来对服务器进行应急处理，保证数据安全及为后续的解密工做尽量多的留下线索。

1， 当即断网
断网的目的是防止网络中其它的服务器或者主机被感染。
2， 检查服务器上文件被加密的状况
检查服务器上文件是否已经被彻底加密，并经过查看修改时间判断病毒加密的开始时间。禁止在服务器中毒后进行重装系统，杀毒，重启系统及断电等操做。重装系统一是不要重启机器，二是不要覆盖系统分区，这两项都会致使对数据进行解密失败，由于不少密钥可能存于内存或是缓存文件中，这些操做会使密钥丢失或者被覆盖，增大数据没法解密的风险。
3， 备份重要数据
完成前两项工做后接下来要对重要数据（如数据库，重要文档等）进行备份，没错，就是对中毒后的文件进行备份，这么作的缘由有二：
一， 对数据进行的操做如修库、解密等都不能在服务器上进行，这么作的目的是万一修库，解密一旦失败，数据没有备份，全部操做不能回退，意味着数据永久丢失。
二， 在以往的案例中，有过被二次加密的状况发生，某企业在服务器中毒后，联系了咱们并发送样本文件供咱们测试，但因为疏忽没有对服务器断网及数据备份，在次日早上上班后发现全部被加密的文件的后缀名又变了。后经咱们检测，发现是又被另外一病毒加密了一遍，若是在服务器中毒后有对中毒文件进行备份，服务器上的文件即便被加密屡次，也不会形成更大的损失。
4， 关于杀毒软件
服务器中毒后，是否要对服务器进行杀毒？病毒在对文件进行加密前，会先将杀毒软件关闭再对文件进行加密，若是这时进行杀毒，会把被感染的文件删除，若是是重要文件，虽然也能够经过专用设备找回被删除文件，但对于以十万百万计的文件数量，你能肯定哪些文件被删除了？正确的作法是，不运行杀毒软件，而是当即对数据进行备份。还要明确的一点是，杀毒软件不能对文件进行解密，号称能解密的也只是将***已公开的密钥集成进软件内而已，对于最新的变种，杀毒软件是无能为力的，甚至连病毒属于哪一个家族都没法检测出。
5， 关于服务器是否断电及关机
中毒后对服务器断电及关机，初衷是为了不病毒加密更多的文件，减小损失，同时也面临一个问题，若是此时正在被加密的文件是一个大型数据库文件（几率极大，数据库文件大，加密时间相应要久），将形成文件未被加密完，未被加密完的文件，只能说神仙来了也无法解开，因此不论是病毒在加密中仍是已经加密完，都不要对服务器断电。
6， 解密及恢复数据
不要试图和***联系，支付赎金解密数据，缘由是首先这是违法的，其次，***存在撕票的状况，咱们已经碰到过用户付钱后，仍然没法解密数据的案例。如今能解密数据的方法有两种：
一是修数据库， 这种修复完后 数据库能够附加，但必定会缺失东西，例如ERP的存储过程，或者丢掉表数据。 这种方式咱们修复过不少，价格便宜 但后续须要ERP的维护商进行大量后续的工做。 时间长，麻烦多。若是是小文件，这种方法无效。
二是完整解密， 这种方式修复出来的文件能够直接使用，跟原来如出一辙，只要从新部署应用环境，就能够投入使用。这种方式收费会更贵，但时间短，效果也是最好的。

如今勒索病毒的加密方式也在不断的升级，修库的难度是愈来愈大，修出来数据完整度不高，不能正常使用，
         每每要结合两种方法，才能完整的还原数据。

                         但愿这些能给您带来帮助，本人能够提供一些技术支持，若有须要，能够与我联系。