中勒索病毒后如何清除(自述：中了勒索病毒后的一波挽救操作！)

中勒索病毒后如何清除文章列表:

• 1、自述：中了勒索病毒后的一波挽救操作！
• 2、360如何将勒索病毒两步扼杀？铭冠网安360防勒索解决方案
• 3、服务器中招勒索病毒后的应急处理方法！
• 4、注意！遇到勒索病毒，你应该这样做——
• 5、勒索病毒持续猖獗 知道创宇紧急发布安全解决方案

自述：中了勒索病毒后的一波挽救操作！

自述：中了勒索病毒后的一波挽救操作！

自从用上了Ucache灾备云的云备份服务之后，简真方便的不得了，提醒大家数据千万条，安全第一条，一定要及时把想备份的内容做个备份！现在就和大家说说我自从中了勒索病毒之后怎么用上云灾备的故事吧！

一、事件起因：公司服务器中了“勒索病毒”

因为公司托管的服务器过年这段时间运维都放假了没人管理，结果就中招了“勒索 病毒”。导致服务器里的OA系统、财务系统等文件全部被加密，因为平时也没有做备份的习惯，这下真是肠子都要毁青了。这也是我要告诉大家为什么要做这个数据备份的原因？

二、灾难分析：中招了“勒索病毒”后数据怎么恢复？

第一时间已经把服务器进行了远程关闭。

之后，一方面IDC服务商那边说目前没有技术可以破解，数据恢复的可能性较小，另一方便之前也有用户交了赎金后发现对方不守信还是没给数据，或者给的数据不可用或者不完整。而且这类事件并不受国家法律保护！

另一方面也要给公司个交待还是想办法从网上找了一家数据恢复的B公司，想尝试看看。

三、天赐良缘：ucache灾备云平台免费普及计划

也是一次偶然的机会，知道这个ucache灾备云平台有个免费普及计划，正好就用到了，确实也是因为像我们这种中小企业哪有几十万的资金去建一套自己的容灾系统呀，想都不敢想，正好这次数据需要搬迁，更重要的是领导说以后的备份做到位，但钱嘛，你懂的。低成本的解决公司的数据备份问题，还得不出问题，太难了吧！机会来了，ucache免费灾备云终于等到你，还好没放弃！公司服务器中了“勒索病毒”怎么办？公司服务器中了“勒索病毒”怎么办？公司服务器中了“勒索病毒”怎么办？

因为对数据恢复公司的能力其实也是存在质疑的，所以公司决定把机房的数据想办法多备几份。1、通ucache灾备云平台申请100G免费授权容量进行云备份2、找IDC服务商的技术在机房找了块移动硬盘，进行全盘备份。

四、事件经过：500多GB的文件向ucache灾备云平台进行备份。

1、填写ucache云平台《灾备云普及计划申请书》，操作系统：window2008；

2、联系平台专属客服崔**报名，申请免费名额，申请后得到了控制台的账号密码。

3、服务器安装客户端，在灾备云平台技术的协助下，通过管理后台进行了1分钟的简单设置，备份就开始了（新建备份任务→勾选要备份的内容→开始备份即可）

4、备份任务是晚上12点开始的，到第二天早上登上去一看备份完成了，在历史 任务中进行了日志查看（如下图）

五、备份体验：真的是太方便了，操作简单，备份速度极快。

就这样我完成了备份，在售后指导下又完成了数据的自动恢复。后面客服说其实功能不止这些，还可以建议多个任务，多通道同时帮我进行实时的数据增量备份。

1、对我另外2台服务器分别是windows和linux操作系统进行备份与恢复设置：

2、再次把我的Vmware和KVM的虚拟化平台进行了备份。客服说不止这些还兼容很多的虚拟化、云平台进行备份与恢复，如华为FusioncloudH3CloudHyper-VH3CCASIncloud云宏Fusion5phere。总之我感觉功能还是真的是很强大。

3、我的MYSQL数据库和应用文件系统也进行了任务备份；

4、最后把我的NAS添加了备份任务。

六、事后总结：功能强大、操作简单、一云多用，666

而且有些小的设置操作真的是很贴心，比如我想过滤掉某个文件不进行备份，做些策略保护，日志查看，对备份内容删除平台也是够贴心的并不是直接就给删除，要连续多次确认，确保理智的情况下进行的删除，这点也 等真是暖到了。等等，细节上处理真的是棒极了，相比我之前手动在本地进行的备份，真的一个天上一个地上。操作简单，运维也是省心省力。

七、温馨提示：要备份，赶早不赶晚！

还得提醒大家一下，中招了“勒索病毒”数据丢失了是真找不回来了，之前联系的说是能恢复数据的那家公司，最后发现折腾一大圈最后还是上当了，根本没把数据拿回来，拿着我们交的钱帮我们去找勒索的那边了，最后电话也不接，也是一言难尽。

再次提醒大家，在企业数据还没出现问题之前，一定一定要做好备份，目前我这边对ucache灾备云平台也是非常非常的认可，即使哪天我服务器上操作了数据误删，我也不用担心，我可以立即恢复到我设置好的【每5分钟备份一次】把故障前的备份快速恢复回去！

360如何将勒索病毒两步扼杀？铭冠网安360防勒索解决方案

调查显示，2022年第二季度平均每周受勒索软件影响的机构同比增长59%，其中批发&零售、分销、政府&军事分列受勒索攻击同比增幅最高的前三类行业。勒索攻击再次成为焦点。

Check Point Research

勒索攻击常用步骤是什么？

一图解析

360安全专家团队常年处在攻防一线，长期跟踪1000多个勒索病毒家族，深入研究20个流行家族，建立了勒索病毒攻防知识库。基于多年的研究与积累，总结出勒索攻击的常用步骤与手法：

第一步

通过各种方式进入到内部网络系统

传统方式：漏洞、网站木马、下载、U盘、僵尸网络、破解和激活工具等

社工方式：“鱼叉攻击”、“水坑攻击”、弱口令爆破等

其他方式：供应链投毒等

第二步

进入目标网络后横向渗透寻找高价值目标

第三步

通过批量加密文件等手段实施勒索

勒索攻击案例示意

不难发现，未修复的漏洞就像敞开的大门，成为勒索软件渗透企业防御体系的重要突破口，漏洞修补及软件更新速度、频度有待提高也是造成受勒索病毒影响较为严重的主要原因之一。

发现未知的漏洞是一项挑战，有效管理并快速响应已知的漏洞则是另一项挑战。“看见”未知漏洞、修复并加固已知漏洞，看见与处置能力相结合，将勒索病毒斩断在襁褓里，是防范勒索攻击的基础。

铭冠网安360防勒索解决方案

漏洞修复双重保障

一重保障

360终端安全管理系统

360终端安全管理系统由服务端、客户端和云端查杀平台组成，针对勒索病毒漏洞利用攻击，从系统漏洞修复和漏洞利用攻击实时阻断两个维度，保护用户免遭勒索。

系统漏洞修复：用户安装客户端产品后即可开启并配置漏洞修复加固等防护策略。通过对全网计算机进行漏洞扫描，把计算机与漏洞进行多维关联，根据终端或漏洞进行分组管理，并根据不同的计算机分组与操作系统类型下发补丁，全面提升企业整体漏洞防护等级。对于高危紧急漏洞，提供紧急免疫微补丁进行内存级漏洞修复，在官方补丁推出前实现漏洞免疫。

360终端安全管理系统提供的系统漏洞修复能力，具有三大特点：

灵活：用户可建立黑白名单、设置自动修复等，随时“看见”漏洞

精细：主机、系统、应用扫描全覆盖，勒索病毒攻防知识库赋能，漏洞信息尽在掌握

实用：支持无人值守重启、蓝屏修复等，持续守护终端安全

漏洞利用攻击实时阻断：面对利用主流浏览器、应用软件等 0day漏洞实施的勒索攻击，传统被动式防御的安全软件往往失效，360终端安全管理系统由基于实战的云主防体系赋能，从网络、文件、进程、注册表等多个维度进行内存级全面监控，实时拦截异常行为和异常调用，进而阻止包括0day在内的漏洞利用攻击的发生。此外，360终端安全管理系统通过对流入本机的网络数据包和行为进行检测，可以根据策略在网络层拦截漏洞攻击，阻断外部攻击入侵。

二重保障

360安全专家团队

360安全专家团队根据对勒索家族特征的研究以及勒索病毒利用漏洞的分析，在360终端安全管理系统自动检测扫描的基础上，进行人工安全服务的二次检查与加固，为防勒索加上双重保障

高效：全面监控超1000个勒索病毒家族，实现勒索动态随时掌握，快速输出勒索防护能力

实战：通过模拟勒索组织攻击行为，发现可能的入侵路径及防护薄弱环节，及时修复加固

全面应对勒索攻击，应从事前加固预防、事中预警阻断、事后止损恢复三个维度展开，而终端防护始终是对抗勒索攻击的主战场。

360防勒索解决方案已累计为超万例勒索病毒救援求助提供帮助，360终端安全管理系统已服务政府、医疗、教育、金融等众多行业客户。未来，360将继续以“漏洞修复双重保障”守护广大用户终端安全。

服务器中招勒索病毒后的应急处理方法！

勒索病毒是现在的主流病毒，席卷全球，给全球各大小政企业都带来了巨大的损失。勒索病毒重点在于防，但是黑客无孔不入，再强大的系统都有可能存在漏洞，那已经中了勒索病毒，那该怎么办呢？

最直接的办法就是把中毒的机器进行隔离，断网处理，然后等待专业的安全服务人员上门进行处理，针对一般的勒索病毒应急处理方法，如下：

第一、断网处理，防止勒索病毒内网传播感染，造成更大的损失。

第二、查找样本和勒索相关信息，确认是哪个勒索病毒家族的样本。

第三、确认完勒索病毒家族之后，看看是否有相应的解密工具，可以进行解密。如果是比较老的勒索病毒，可以24小时以内安装360勒索病毒清理软件，看看能不能匹配到加密密钥（360官网可以去找找软件）。

第四、进行溯源分析，确认是通过哪种方式传播感染的进来的，封堵相关的安全漏洞。

第五、衡量电脑或者服务器资料的重要性，如果不重要，可全盘格式化再重装系统。如果资料非常重要，目前没有技术可以破解，数据恢复的可能性较小。

第六、支付比特币。（不建议，也不好操作。因为有很多人交了赎金后发现对方不守信还是没给数据，或者给的数据不可用或者不完整。而且这类事件并不受国家法律保护！）

第七、做好相应的安全防护工作，以防再次感染。找本地专业一点的网络安全供应商帮助你规划网络安全。评估网络风险情况。清理内网存在的其它已经中毒但还没发作的电脑。拦截外部可能再出现的感染可能性。

第八、提醒大家数据千万条，备份第一条，在企业数据还没出现问题之前，一定一定要及时把想备份的内容做个备份！现在ucache灾备云平台有个《灾备云免费普及计划》，已经用过了还不错，功能强大、操作简单、可以同时把服务器里的操作系统、虚拟化/云平台架构、支持各类数据库及应用文件、NAS的时实备份与自动恢复。

重要的是ucache灾备云备份的速度也是非常的快，几百GB的数据，很快就全部备份完了，而且后期也设备了自动增量备份，不占用云端授权容量。ucache灾备云数据备份推荐大家使用。

'

注意！遇到勒索病毒，你应该这样做——

南充市互联网信息办公室

关于勒索软件攻击预警及应对建议

近期，勒索软件攻击频发，勒索软件攻击性质恶劣、危害极大。基于当前网络安全现状，我办对勒索病毒的防范、应对提出建议：

宣传教育，提高安全意识

勒索病毒主要以邮件、程序木马、网页挂马的形式进行传播，诱导受害者打开附件、访问链接、双击压缩包等操作，利用office、WPS等相关工作软件的漏洞，侵入受害者电脑。安全培训应主要涉及以下几点：

1. 避免打开来历不明的邮件；

2. 避免将来历不明或私人的存储设备插入工作电脑；

3. 避免访问证书有问题非官方不明网站；

4. 设置高强度的密码；

5. 禁止Office软件运行宏。

及时更新硬件及软件版本

勒索软件经常利用受害者系统、应用软件的漏洞发起攻击，及时更新软硬件版本可有效降低遭受攻击的风险。

1. 及时更新软硬件厂家推送的最新版本；

2. 及时安装系统补丁；

3. 随时关注安全动态，对于暂未发布补丁的漏洞，及时作出相应的对策。

随时备份，及时恢复

通常勒索软件攻击后，会将其中的文件进行加密，并以此勒索受害者缴纳一定数额的赎金换取解密密码。在这种情况下，调取备份就显得非常重要了，至少可以保证在最坏的情况下，保持系统持续运转。

物理隔离，保护重要资产

攻击者以曝光窃取的信息为理由，勒索大量的金钱，并在未能达成目的时，将信息公开在互联网上，造成大量的损失。因此将重要文件信息放置于内部网络，物理上进行隔绝，避免U盘等存储介质接入，能够最大程度地保护重要信息不至于泄露。

部署防护设备

可靠的安全设备可以随时24小时监测并拦截可疑流量，检测可疑攻击，定期更新的病毒库能及时识别病毒类型，为之后的应对做铺垫。同时大部分勒索软件还会通过一些特定的端口进行传播并向命令和控制服务器传输获取到的信息，因此通过防火墙关闭不使用的端口，能够有效地阻止勒索软件在网络中肆意传播。

受攻击后及时应对

在发现已经遭遇勒索软件攻击后，积极的应对策略能够尽可能减少损失，保证部分业务的正常运行。因此我们列出比较常见的几种应对手法如下：

1. 及时物理隔离受感染主机，防止病毒传播；

2. 确定被感染范围，清算资产受害信息；

3. 确定勒索软件种类，确定应对方式；

4. 重装系统，使用备份恢复，尽量降低损失。

勒索病毒持续猖獗 知道创宇紧急发布安全解决方案

勒索病毒是黑客通过锁屏、加密文件等方式劫持用户文件并以此敲诈用户钱财的恶意软件。自2017年5月WannaCry勒索病毒爆发以来，在短时间内大范围传播，给企业、高校、医院机构、公共基础设施造成了严重后果。硅谷网络风险建模公司Cyence的首席技术长George Ng称， 仅“永恒之蓝”网络攻击造成的全球电脑死机直接成本总计约80亿美元。中国是勒索病毒攻击受害最为严重的国家之一，WannaCry勒索病毒爆发时仅一天时间，国内有近3W机构被攻击，覆盖至全国各地，其中教育、医疗、大型企业是国内被攻击最为严重的三大行业。

时隔一年，勒索病毒威胁犹存。据相关机构统计，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最为活跃的四大勒索病毒家族，传播量占到上半年勒索病毒传播总量的90%以上。今年七月，针对Windows服务器的勒索病毒“撒旦”开始对大批企业服务器发起攻击，病毒会将计算机中的数据库文件进行加密，同时还具备二次传播能力，有可能入侵局域网内的其他机器。专家预测，由于利润丰厚、追踪困难等原因，未来各种勒索软件的攻击将会更为频繁，杀伤力也更大。

针对持续爆发的勒索病毒，知道创宇紧急发布快速解决方案，通过创宇云图 御点 应急服务构建起从事前到事后全周期、全方位的安全防护体系，帮助各企事业单位及国家关键信息基础设施部门抵御勒索病毒的侵害。

在事前，从传播、加密、扩散三条路径对勒索病毒进行监测，并从网络异常、入侵、多引擎病毒、威胁变种基因等多方面进行分析检测，对未知威胁，采用沙箱检测方式，检测涵盖已知未知高级威胁，检测结果以预警方式发布，建立未知威胁预警体系。

当遭遇勒索病毒攻击时，针对其传播的7大途径，终端防控从病毒主动检测查杀以及漏洞利用防御两个层面提供防护解决方案。

1、网络防护：通过拦截下载器自动下载木马程序、拦截恶意推广程序、拦截黑客远程控制本机、拦截盗号木马，从而降低用户在网络层面与病毒的接触面。

2、聊天安全防护：御点能检测QQ、MSN、阿里旺旺等常用聊天软件传输文件的安全性，并检测QQ中对方发来网址的安全性，防止勒索病毒的扩散感染。

3、移动设备防护：御点提供了U盘等移动设备接入电脑自动检测功能，全面拦截和清除在移动设备接入系统可能带来的病毒木马。

4、局域网共享查杀：御点能够对局域网共享文件传输进行检测和查杀，避免勒索病毒通过局域网传播扩散。

5、漏洞利用防御：御点支持漏洞利用防御，尤其对通过文件漏洞（尤其是0day漏洞）的攻击行为进行有效检测与防御。

6、压缩包杀毒：御点支持文件解压缩病毒查杀，支持对zip、rar、7z等多种格式的压缩文件查杀，降低勒索病毒通过伪装成压缩文件传输的可能。

7、漏洞修复：御点支持修复Windows客户端的系统高危漏洞，同时提供功能性更新补丁，防止勒索病毒利用系统高危漏洞攻击。

经历病毒攻击后，终端防御系统已经添加防护勒索病毒策略，更新病毒库，使系统免于受到相似病毒攻击，筑牢整个防御防线，实现端到端的病毒防护体系。

据知道创宇安全专家介绍，该反勒索病毒快速解决方案主要由创宇云图和御点构成。御点由具备全球顶尖攻防及病毒研究能力的腾讯和知道创宇“7 1”联合实验室支持，安全能力屡获国际评测认证，全球七大权威机构病毒查杀能力评测大满贯，100次 最高评级。其独有的腾讯TAV反病毒引擎，基于700亿 海量样本的全体系支撑，后台云计算平台提供病毒DNA解析大数据处理，支持TAV智能打击恶意病毒。

创宇云图通过人工智能、大数据与安全技术的结合进行高效的多维度网络异常行为检测，具备独特的威胁基因图谱检测技术，能够全面识别已知勒索病毒变种以及未知病毒威胁。创宇云图的网络异常检测、网络入侵检测、威胁变种检测、未知威胁检测、主机威胁检测、威胁情报检测和大数据关联分析功能，可追踪勒索病毒感染路径，进行预警，避免病毒感染范围扩大。

创宇云图与御点组合而成的反勒索病毒方案，配置灵活，反应迅速，对于需要防护的系统，可以建立完整的防护体系，对于遭遇攻击的系统，可以快速应急，查杀病毒，然后形成完整的防护体系。

如果不幸已经遭遇勒索病毒攻击，应当马上隔离被感染设备，启动御点反勒索专家策略，或联系安全专家技术支持，定位和提取病毒样本文件，进行专项查杀并制定恢复策略。同时立即组织内网检测，查找所有开放445 等服务端口的终端和服务器，一旦发现电脑中毒，立即断网。并尽快备份电脑中的重要文件和数据资料，要求所有员工按照日常防范的步骤，检查和落实漏洞修复等安全措施。期间严格禁止使用U盘、移动硬盘等可执行摆渡攻击的设备。

面对勒索病毒的威胁，预防永远是最好的办法，知道创宇安全专家对此建议：

1、不要点击来源不明的邮件附件。

2、及时打补丁，修复系统或第三方软件中存在的安全漏洞。

3、尽量关闭不必要的端口，如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的ip连接登陆。

4、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

5、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

6、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

7、对重要文件和数据（数据库等数据）进行定期非本地备份。

8、在终端/服务器部署专业安全防护软件，服务器可考虑部署在具备专业安全防护能力的云服务。

勒索病毒频发，是时候快速建立你的病毒防御体系了。