中招勒索软件后的处理流程

今天又有客户中招勒索软件了。在无数次的响应过程中，我们帮大家总结好了处理流程。

大家最着急的，肯定是尝试解密那些被勒索软件加密的文件。好吧，这个我就不具体介绍如何找资料了。中招的你，已经都尝试过了。显然当最终看到这篇文章的时候，我可以放心地告诉大家，你的文件能不能被救回，主要取决于运气，而不是技术。而你的文件多半已经没得挽回了。

中招后的第一步，将中招的机器隔离开。怎么叫隔离呢？最简单的方法就是先把网线给拔走。这是为了防止勒索软件通过自有的技术进一步向其他机器蔓延的最直接的招数。

第二步，所有范围内的机器的杀毒软件升级到最新，补丁升级到最新。中勒索的机器之所以会中勒索，服务这么多起CASE下来，基本没见过勒索软件是个孤立的事件。一定是周边的机器有了状况。但是到底是谁有问题，短时间内挺难判断。所有机器都有嫌疑，都要升级及杀毒。有条件的话，关机所有机器，开一台，升一台，扫毒一台，这样会比较保险。但是机器一多，一台一台来就不靠谱了。你也许要赌一下同时升级和扫毒所有机器。赌的是在升级和扫毒过程中，勒索没有扩散和蔓延。

接下来是第三步，做完第二步后，你会发现杀毒软件完全没找到问题。很好，这就对了。如果能被你找到问题，那勒索软件怎么还有机会跑起来。这第三步就是要在所有的机器上安装通用型的反勒索软件。杀毒软件从最近的各种实际反馈效果来看，对于勒索软件的通用性比较弱。如果防住了，也就没有这篇文章什么事情了。因此通用型的反勒索软件特别关键。对勒索软件的特性进行针对性做防御。阻止勒索软件的破坏和蔓延。注意，反勒索软件并不解密已经加密的文件。作为预防措施，防止蔓延。

其中有一种反勒索软件的链接在这里。

http://www.grandhonor.net/pro/anti-ransom.html

不花钱的版本能将就用，基本的反勒索的功能挺健全，基本上勒索软件一执行就被杀了。付费的商用版本对网络管理员友好很多。想要有技术支持的找这个微信号买反勒索软件。

这三步完工后，有一步是可选项。那就是报警。写勒索软件是犯法的，作者早晚要被抓，只是什么时间和被谁抓的问题。运气好的话，能帮助恢复勒索的文件。当然，运气不好才是应该的。因为通常找到作者的时候，伴随勒索软件存在的整套解密对应的元素都有大概率已经被有意无意搞坏了。比如勒索软件用的服务器续费到期了呀，数据库破损了呀，受害人自己没保存好解密要用的KEY等等。。。总之，就算抓到作者，也要凭运气解救被加盟的文件。

好了，那要不要交钱认栽呢？问题是你还有得选吗？有得选，当然不交钱咯。有点必须注意的是，交钱也不一定能恢复哦。大家还是要做好心理准备。因为影响解密的因素很多，比如技术故障呀，作者退隐江湖了呀，控制服务器坏了呀，或者作者正好被擒拿，失联中呀。 总之，交钱是死马当活马医的最后一招。要交也要趁早。夜长梦多。

至此，文件相关能做的事情，还剩一样，就是备份。备份所代表的是一种机制与制度。当机制与制度的控制点没能到位的时候，风险敞口仍然存在。要怎么建立风险控制点，卖勒索软件的哥们也是挺专业的咨询师，可加了咨询一下。