勒索病毒加密數據後的應急處理

自2017年至今，本人從事勒索病毒解密及數據庫修復工做，近期在網上看了些關於中毒後該怎麼作的貼子，說    法不少，以本人多年的從業經驗來看，這些貼子說得不是太全面，有些操做甚至會對數據完全的破壞。下面結合本人多年從業經驗來談談中了勒索病毒後，應該怎麼來對服務器進行應急處理，保證數據安全及爲後續的解密工做盡量多的留下線索。

1， 當即斷網
斷網的目的是防止網絡中其它的服務器或者主機被感染。
2， 檢查服務器上文件被加密的狀況
檢查服務器上文件是否已經被徹底加密，並經過查看修改時間判斷病毒加密的開始時間。禁止在服務器中毒後進行重裝系統，殺毒，重啓系統及斷電等操做。重裝系統一是不要重啓機器，二是不要覆蓋系統分區，這兩項都會致使對數據進行解密失敗，由於不少密鑰可能存於內存或是緩存文件中，這些操做會使密鑰丟失或者被覆蓋，增大數據沒法解密的風險。
3， 備份重要數據
完成前兩項工做後接下來要對重要數據（如數據庫，重要文檔等）進行備份，沒錯，就是對中毒後的文件進行備份，這麼作的緣由有二：
一， 對數據進行的操做如修庫、解密等都不能在服務器上進行，這麼作的目的是萬一修庫，解密一旦失敗，數據沒有備份，全部操做不能回退，意味着數據永久丟失。
二， 在以往的案例中，有過被二次加密的狀況發生，某企業在服務器中毒後，聯繫了咱們併發送樣本文件供咱們測試，但因爲疏忽沒有對服務器斷網及數據備份，在次日早上上班後發現全部被加密的文件的後綴名又變了。後經咱們檢測，發現是又被另外一病毒加密了一遍，若是在服務器中毒後有對中毒文件進行備份，服務器上的文件即便被加密屢次，也不會形成更大的損失。
4， 關於殺毒軟件
服務器中毒後，是否要對服務器進行殺毒？病毒在對文件進行加密前，會先將殺毒軟件關閉再對文件進行加密，若是這時進行殺毒，會把被感染的文件刪除，若是是重要文件，雖然也能夠經過專用設備找回被刪除文件，但對於以十萬百萬計的文件數量，你能肯定哪些文件被刪除了？正確的作法是，不運行殺毒軟件，而是當即對數據進行備份。還要明確的一點是，殺毒軟件不能對文件進行解密，號稱能解密的也只是將***已公開的密鑰集成進軟件內而已，對於最新的變種，殺毒軟件是無能爲力的，甚至連病毒屬於哪一個家族都沒法檢測出。
5， 關於服務器是否斷電及關機
中毒後對服務器斷電及關機，初衷是爲了不病毒加密更多的文件，減小損失，同時也面臨一個問題，若是此時正在被加密的文件是一個大型數據庫文件（機率極大，數據庫文件大，加密時間相應要久），將形成文件未被加密完，未被加密完的文件，只能說神仙來了也無法解開，因此不論是病毒在加密中仍是已經加密完，都不要對服務器斷電。
6， 解密及恢復數據
不要試圖和***聯繫，支付贖金解密數據，緣由是首先這是違法的，其次，***存在撕票的狀況，咱們已經碰到過用戶付錢後，仍然沒法解密數據的案例。如今能解密數據的方法有兩種：
一是修數據庫， 這種修復完後 數據庫能夠附加，但必定會缺失東西，例如ERP的存儲過程，或者丟掉表數據。 這種方式咱們修復過不少，價格便宜 但後續須要ERP的維護商進行大量後續的工做。 時間長，麻煩多。若是是小文件，這種方法無效。
二是完整解密， 這種方式修復出來的文件能夠直接使用，跟原來如出一轍，只要從新部署應用環境，就能夠投入使用。這種方式收費會更貴，但時間短，效果也是最好的。

如今勒索病毒的加密方式也在不斷的升級，修庫的難度是愈來愈大，修出來數據完整度不高，不能正常使用，
         每每要結合兩種方法，才能完整的還原數據。

                         但願這些能給您帶來幫助，本人能夠提供一些技術支持，若有須要，能夠與我聯繫。