遭遇勒索病毒后如何进行自救

当已经确认感染勒索病毒后，应当及时采取必要的自救措施。自救方法如下：

隔离“中招”主机

当确认服务器已经被感染勒索病毒后，应立即隔离被感染主机，隔离主要包括物理隔离和访问控制两种手段。

① 物理隔离

物理隔离常用的操作方法是断网和关机。

② 访问控制

访问控制常用的操作方法是加策略和修改登录密码。

加策略主要操作步骤为：在网络侧使用安全设备进行进一步隔离，如使用防火墙或终端安全监测系统；避免将远程桌面服务（默认端口为3389）暴露在公网上（如为了远程运维方便确有必要开启，则可通过VPN登录后访问），并关闭445、139、135等不必要的端口。

修改登录密码主要操作步骤为：第一，立刻修改被感染服务器的登录密码；第二，修改同一局域网下其他服务器的密码；第三，修改最高级系统管理员账号的登录密码。修改的密码应为高强度的复杂密码，一般要求为：采用大小写字母、数字、特殊符号混合的组合结构，位数应足够长（15位、两种组合以上）。

排查业务系统

在已经隔离被感染主机后，应对局域网内的其他机器进行排查，检查核心业务系统是否受到影响，生产线是否受到影响，并检查备份系统是否被加密等，以确定感染的范围。

业务系统的受影响程度直接关系着事件的风险等级。因此，应及时评估风险，采取对应的处置措施，避免更大的危害。

另外，备份系统如果是安全的，就可以避免支付赎金，顺利恢复文件。

当确认服务器已经被感染勒索病毒，并确认已经隔离被感染主机后，应立即对核心业务系统和备份系统进行排查。

联系专业人员

在应急自救处置后，建议第一时间联系专业的技术人员或安全从业者，对事件的感染时间、传播方式、感染家族等问题进行排查。