應對勒索軟件的步驟

如果您懷疑自己受到了勒索軟件的攻擊，那么此時快速地采取響應動作起著至關重要的作用。您可以采取以下幾個步驟，盡可能減少損失，并盡快恢復正常業務。

1. 隔離受感染的設備：當勒索軟件感染了一臺設備時，這個危害還不算是最嚴重的；但如果企業所有的設備都被感染，那就是一場大災難了，甚至可能導致業務癱瘓。這兩種不同的結果往往是企業采取響應對策的不同反應速度所導致的。為確保網絡、共享磁盤和其他設備的安全，您必須盡快斷開受感染的設備與本地網絡、互聯網和其他設備的連接。越早這樣做，就越有可能保護其他設備不受感染。
2. 停止擴散：由于勒索軟件擴散速度很快，并且當前被勒索軟件攻擊的設備不一定就是“零號患者”，因此立即隔離當前這個受感染的設備并不能保證勒索軟件不會出現在網絡的其他位置。為了有效地限制其擴散范圍，您需要將所有可疑設備斷網，包括那些不在本地運行的設備。只要這些設備連接到了網絡，那么無論它們在哪里，都會構成風險。此時也應該關閉無線連接（Wi-Fi、藍牙等）。
3. 評估損失：檢查最近被加密的、帶有奇怪文件擴展名的文件，以便確定哪些設備受到了感染。一旦發現任何尚未完全加密的設備，立即隔離并關閉這些設備，以遏制攻擊并防止進一步的損壞和數據丟失。您需要創建一個列表，包含所有受攻擊的系統，包括網絡存儲設備、云存儲、外置硬盤（及 U盤）、筆記本電腦、智能手機和任何其他可能涉及的設備。此時，需要盡可能地關閉或限制所有的網絡共享。這樣可以停止任何正在進行的加密過程，并且還可以防止在進行補救時感染其他共享。但在此之前，您需要查看被加密的共享。這樣可以獲得一些有用的信息：如果一臺設備打開的文件數量比平時多得多，您可能已經準確地定位到了“零號患者”。
4. 找到“零號患者”：一旦確定了感染源，跟蹤感染就變得容易多了。請檢查任何可能來自殺毒/防惡意軟件、EDR 或任何活動監測平臺的警報。而且，由于大多數勒索軟件通過惡意電子郵件鏈接和附件入侵網絡，這個過程中需要最終用戶的操作，因此詢問用戶做了哪些動作（如打開可疑電子郵件）以及他們曾經注意到了什么現象，這個方法也有一定的作用。最后，查看文件自身的屬性也可以提供一條線索 - 被列為文件所有者的人可能就是切入點。（但請記住，“零號患者”可能不止一個?。?/li>
5. 識別勒索軟件：在進一步分析之前，需要了解你所要處理的勒索軟件是哪個變種。一種方式是訪問 nomoreransom 網站，一個全球性的自發組織網站。對于某些已找到應對方法的勒索者病毒，該網站提供了相應工具，可以幫助用戶釋放被加密的數據：只需上傳您的其中一份加密文件，就可以找到匹配的工具。您也可以參照勒索信息：如果其中沒有直接拼出勒索軟件變體，請使用搜索引擎查詢電子郵件地址或信息本身會有所幫助。一旦識別出了勒索軟件并快速研究了其行為，應該盡快提醒所有未受影響的員工，以便讓他們警惕感染病毒跡象。
6. 評估備份：現在是時間開始采取響應動作了。最快、最簡單的辦法就是從備份中還原系統。最理想的情形是，您剛好留存有最近制作的、未被病毒感染的完整備份，可以借此順利恢復系統。如果是這樣，那么下一步的操作就是使用殺毒/防惡意軟件解決方案，將所有受感染的系統和設備中的惡意軟件刪除干凈 —— 不然的話，它會繼續鎖定你的系統并加密文件，甚至可能會損壞您的備份。將所有惡意軟件都清除干凈后，您就能從備份中恢復系統。一旦確認所有數據都已恢復成功，所有應用和進程都并正常運行，這就表明恢復任務正常完成。但是，不幸的是，許多組織事前并沒有意識到創建和維護備份的重要性，直到需要備份數據的時候，才意識到它們的缺失?，F代勒索軟件越來越復雜靈活，一些備份制作人員很快會發現，勒索軟件甚至已經波及到了備份文件（已將其損壞或加密），致使它們無用武之地。
7. 研究解密辦法：如果您沒有可用的備份，但仍有機會恢復數據。nomoreransom 網站中的免費解密密鑰列表仍在不斷擴充之中。如果從該網站中，可以找到您當前正在處理的勒索軟件變體的密鑰（假設您現在已經將系統中的所有惡意軟件清除干凈），您就能夠使用這個解密密鑰來解密數據。但是，即便您有幸找到了解密密鑰，您的任務也還沒徹底完成 – 仍需停機數小時或數天來進行修復工作。
8. 繼續向前：如果很不幸你沒有可用來進行恢復的備份，無法找到解密密鑰，你唯一的選擇可能就是盡量減少您的損失，然后從頭開始部署系統。重建過程需要一定的時間和成本，但在沒有其他辦法的情況下，這就是最好的辦法了。

及時備份并保護好備份文件

根據以上分析可知，及時進行備份，并保護好備份文件（異地保存），是不幸遭遇勒索軟件情形下最好的情形。

鴻萌易備數據備份軟件支持向多種目標位置復制多個備份文件副本，支持 AES 256 位加密和 zip 壓縮。支持系統備份、驅動器鏡像、數據庫備份、虛擬機備份、Exchange 服務器備份等。

防患于未然，做好備份工作，是預防勒索軟件的重要措施。