2024勒索病毒應(yīng)急指南手冊(cè)

2024勒索病毒應(yīng)急響應(yīng)自救手冊(cè)目錄TOC\o"1-3"\h\u26269第?章常?勒索病毒種類介紹 328203WannaCry勒索 32173GlobeImposter勒索 410438Crysis/Dharma勒索 513212GandCrab勒索 525526Satan勒索 626243Sacrab勒索 722014Matrix勒索 819547STOP勒索 921894Paradise勒索 101323第?章如何判斷病情 119466業(yè)務(wù)系統(tǒng)?法訪問 1218632電腦桌?被篡改 1225956?件后綴被篡改 13621第三章如何進(jìn)??救 1529158正確處置?法 1512841(三)聯(lián)系專業(yè)?員 1624069錯(cuò)誤處置?法 172676第四章如何恢復(fù)系統(tǒng) 1721330歷史備份還原 1813225解密?具恢復(fù) 1812676專業(yè)?員代付 1911332重裝系統(tǒng) 1911325第五章如何加強(qiáng)防護(hù) 1913328終端??安全建議 1915375政企??安全建議 2024992第六章附錄：勒索病毒已知被利?漏洞合集 21勒索病毒，是伴隨數(shù)字貨幣興起的?種新型病毒??，通常以垃圾郵件、服務(wù)器?侵、??掛?、捆綁軟件等多種形式進(jìn)?傳播。機(jī)器?旦遭受勒索病毒攻擊，將會(huì)使絕?多數(shù)?件被加密算法修改，并添加?個(gè)特殊的后綴，且???法讀取原本正常的?件，對(duì)??造成?法估量的損失。勒索病毒通常利??對(duì)稱加密算法和對(duì)稱加密算法組合的形式來加密?件，絕?多數(shù)勒索軟件均?法通過技術(shù)?段解密，必須拿到對(duì)應(yīng)的解密私鑰才有可能?損還原被加密?件。?客正是通過這樣的?為向受害??勒索?昂的贖?，這些贖?必須通過數(shù)字貨幣?付，?般?法溯源，因此危害巨?。?2017年5?WannaCry（永恒之藍(lán)勒索蠕?）?規(guī)模爆發(fā)以來，勒索病毒已成為對(duì)政企機(jī)構(gòu)和??直接威脅最?的?類??病毒。近期爆發(fā)的Globelmposter、GandCrab、Crysis等勒索病毒，攻擊者更是將攻擊的?頭對(duì)準(zhǔn)企業(yè)服務(wù)器，并形成產(chǎn)業(yè)化；?且勒索病毒的質(zhì)量和數(shù)量的不斷攀升，已經(jīng)成為政企機(jī)構(gòu)?臨的最?的?絡(luò)威脅之?。為幫助更多的政企機(jī)構(gòu)，在遭遇?絡(luò)安全事件時(shí)，能夠正確處置突發(fā)的勒索病毒，及時(shí)采取必要的?救措施，阻?損失擴(kuò)?，為等待專業(yè)救援爭(zhēng)取時(shí)間。360安服團(tuán)隊(duì)結(jié)合1000余次客?現(xiàn)場(chǎng)救援的實(shí)踐經(jīng)驗(yàn)，整理了《勒索病毒應(yīng)急響應(yīng)?救?冊(cè)》，希望能對(duì)??政企客?有所幫助。第?章常?勒索病毒種類介紹?2017年“永恒之藍(lán)”勒索事件之后，勒索病毒愈演愈烈，不同類型的變種勒索病毒層出不窮。勒索病毒傳播素以傳播?式塊，?標(biāo)性強(qiáng)著稱，傳播?式多?于利?“永恒之藍(lán)”漏洞、爆破、釣?郵件等?式傳播。同時(shí)勒索病毒?件?旦被??點(diǎn)擊打開，進(jìn)?本地，就會(huì)?動(dòng)運(yùn)?，同時(shí)刪除勒索軟件樣本，以躲避查殺和分析。所以，加強(qiáng)對(duì)常?勒索病毒認(rèn)知?關(guān)重要。如果在?常?作中，發(fā)現(xiàn)存在以下特征的?件，需務(wù)必謹(jǐn)慎。由于勒索病毒種類多?上百種，因此特整理了近期流?的勒索病毒種類、特征及常?傳播?式，供?家參考了解：WannaCry勒索2017年5?12?，WannaCry勒索病毒全球?爆發(fā)，?少150個(gè)國家、30萬名??中招，造成損失達(dá)80億美元。WannaCry蠕?通過MS17-010漏洞在全球范圍?爆發(fā)，感染了?量的計(jì)算機(jī)，該蠕?感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植?敲詐者病毒，導(dǎo)致電腦?量?件被加密。受害者電腦被?客鎖定后，病毒會(huì)提?需要?付相應(yīng)贖??可解密。常?后綴：wncry傳播?式：永恒之藍(lán)漏洞特征：?jiǎn)?dòng)時(shí)會(huì)連接?個(gè)不存在url、創(chuàng)建系統(tǒng)服務(wù)mssecsvc2.0、釋放路徑為Windows?錄GlobeImposter勒索2017年出現(xiàn)，2018年8?21?起，多地發(fā)?GlobeImposter勒索病毒事件，攻擊?標(biāo)主要是開始遠(yuǎn)程桌?服務(wù)的服務(wù)器，攻擊者通過暴?破解服務(wù)器密碼，對(duì)內(nèi)?服務(wù)器發(fā)起掃描并??投放勒索病毒，導(dǎo)致?件被加密多個(gè)版本更新，并常通過爆破RDP后??投毒傳播，暫?法解密。常?后綴：auchentoshan、動(dòng)物名+4444傳播?式：RDP爆破垃圾郵件捆綁軟件特征：釋放在%appdata%或%localappdata%Crysis/Dharma勒索最早出現(xiàn)在2016年，在2017年5?萬能密鑰被公布之后，消失了?段時(shí)間，但在2017年6?后開始繼續(xù)更新。攻擊?法同樣是通過遠(yuǎn)程RDP爆?破解的?式，植?到??的服務(wù)器進(jìn)?攻擊，其加密后的?件的后綴名為.java，由于CrySiS采?AES+RSA的加密?式，最新版本?法解密。常?后綴：【id】+勒索郵箱+特定后綴傳播?式：RDP爆破特征：勒索信位置在startup?錄、樣本位置在%windir%\System32、Startup?錄、%appdata%?錄GandCrab勒索2018年年初?世，作者?時(shí)間多個(gè)?版本更新，僅僅半年的時(shí)候，就連續(xù)出現(xiàn)了V1.0,V2.0,V2.1,V3.0,V4.0等變種，病毒采?Salsa20和RSA-2048算法對(duì)?件進(jìn)?加密，并修改?件后綴為.GDCB、.GRAB、.KRAB或5-10位隨機(jī)字?，并將感染主機(jī)桌?背景替換為勒索信息圖?。GandCrab5.1之前版本可解密，最新GandCrab5.2?法解密。常?后綴：隨機(jī)?成傳播?式：RDP爆破釣?郵件捆綁軟件僵??絡(luò)漏洞傳播特征：樣本執(zhí)?完畢后?刪除修改操作系統(tǒng)桌?背景后綴-MANUAL.txt后綴-DECRYPT.txtSatan勒索撒旦（Satan）勒索病毒?次出現(xiàn)2017年1?份。該勒索進(jìn)?Windows&Linux雙平臺(tái)攻擊，最新版本攻擊成功后，會(huì)加密?件并修改?件后綴為“evopro”。除了通過RDP爆破外，?般還通過多個(gè)漏洞傳播。常?后綴：evoprosick…傳播?式：永恒之藍(lán)漏洞RDP爆破JBOSS系列漏洞Tomcat系列漏洞Weblogic組件漏洞特征：最新變種evopro暫時(shí)?法解密，?的變種可解密Sacrab勒索Scarab（圣甲?）惡意軟件于2017年6??次發(fā)現(xiàn)。此后，有多個(gè)版本的變種陸續(xù)產(chǎn)?并被發(fā)現(xiàn)。最流?的?個(gè)版本是通過Necurs僵??絡(luò)進(jìn)?分發(fā)，使?VisualC語?編寫?成，??于垃圾郵件和RDP爆破等?式。在針對(duì)多個(gè)變種進(jìn)?脫殼之后，我們發(fā)現(xiàn)有?個(gè)2017年12??次發(fā)現(xiàn)的變種Scarabey，其分發(fā)?式與其他變種不同，并且它的有效載荷代碼也并不相同。常?后綴：.krab.Sacrab.bomber.Crash傳播?式：Necurs僵??絡(luò)RDP爆破垃圾郵件特征：樣本釋放%appdata%\RoamingMatrix勒索?前為?變種較多的?種勒索，該勒索病毒主要通過?侵遠(yuǎn)程桌?進(jìn)?感染安裝，?客通過暴?枚舉直接連?公?的遠(yuǎn)程桌?服務(wù)從??侵服務(wù)器，獲取權(quán)限后便會(huì)上傳該勒索病毒進(jìn)?感染，勒索病毒啟動(dòng)后會(huì)顯?感染進(jìn)度等信息，在過濾部分系統(tǒng)可執(zhí)??件類型和系統(tǒng)關(guān)鍵?錄后，對(duì)其余?件進(jìn)?加密，加密后的?件會(huì)被修改后綴名為其郵箱。常?后綴：.GRHAN.PRCP.SPCT.PEDANT…傳播?式：RDP爆破STOP勒索同Matrix勒索類似，Stop勒索病毒也是?個(gè)多變種的勒索??，?般通過垃圾郵件、捆綁軟件和RDP爆破進(jìn)?傳播，在某些特殊變種還會(huì)釋放遠(yuǎn)控??。常?后綴：.TRO.djvu.puma.pumas.pumax.djvuq…特征：樣本釋放在%appdata%\local<隨機(jī)名稱>可能會(huì)執(zhí)?計(jì)劃任務(wù)Paradise勒索Paradise勒索最早出現(xiàn)在2018年7?下旬，最初版本會(huì)附加?個(gè)超?后綴如：（_V.{yourencrypter@protonmail.ch}.dp）到原?件名末尾，在每個(gè)包含加密?件的?件夾都會(huì)?成?個(gè)勒索信如下：?后續(xù)活躍及變種版本，采?了Crysis/Dharma勒索信樣式圖彈窗如：勒索信如下樣式加密?件后綴：?件名%ID字符串%{勒索郵箱}.特定后綴特征：將勒索彈窗和??釋放到Startup啟動(dòng)?錄第?章如何判斷病情如何判斷服務(wù)器中了勒索病毒呢？勒索病毒區(qū)別于其他病毒的明顯特征：加密受害者主機(jī)的?檔和數(shù)據(jù)，然后對(duì)受害者實(shí)施勒索，從中?法謀取私利。勒索病毒的收益極?，所以?家才稱之為“勒索病毒”。勒索病毒的主要?的既然是為了勒索，那么?客在植?病毒完成加密后，必然會(huì)提?受害者您的?件已經(jīng)被加密了?法再打開，需要?付贖?才能恢復(fù)?件。所以，勒索病毒有明顯區(qū)別于?般病毒的典型特征。如果服務(wù)器出現(xiàn)了以下特征，即表明已經(jīng)中了勒索病毒。業(yè)務(wù)系統(tǒng)?法訪問2018年以來，勒索病毒的攻擊不再局限于加密核?業(yè)務(wù)?件；轉(zhuǎn)?對(duì)企業(yè)的服務(wù)器和業(yè)務(wù)系統(tǒng)進(jìn)?攻擊，感染企業(yè)的關(guān)鍵系統(tǒng)，破壞企業(yè)的?常運(yùn)營；甚?還延伸??產(chǎn)線??不可避免地存在?些遺留系統(tǒng)和各種硬件難以升級(jí)打補(bǔ)丁等原因，?旦遭到勒索攻擊的直接后果就是?產(chǎn)線停產(chǎn)。?如：2018年2?，某三甲醫(yī)院遭遇勒索病毒，全院所有的醫(yī)療系統(tǒng)均?法正常使?，正常就醫(yī)秩序受到嚴(yán)重影響；同年8?，臺(tái)積電在臺(tái)灣北、中、南三處重要?產(chǎn)基地，均因勒索病毒?侵導(dǎo)致?產(chǎn)停擺。但是，當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)?法訪問、?產(chǎn)線停產(chǎn)等現(xiàn)象時(shí)，并不能100%確定是服務(wù)器感染了勒索病毒，也有可能是遭到DDoS攻擊或是中了其他病毒等原因所致，所以，還需要結(jié)合以下特征來判斷。電腦桌?被篡改服務(wù)器被感染勒索病毒后，最明顯的特征是電腦桌?發(fā)?明顯變化，即：桌?通常會(huì)出現(xiàn)新的?本?件或???件，這些?件?來說明如何解密的信息，同時(shí)桌?上顯?勒索提?信息及解密聯(lián)系?式，通常提?信息英?較多，中?提?信息較少。下?為電腦感染勒索病毒后，?種典型的桌?發(fā)?變化的?意圖。?件后綴被篡改服務(wù)器感染勒索病毒后，另外?個(gè)典型特征是：辦公?檔、照?、視頻等?件的圖標(biāo)變?yōu)椴豢纱蜷_形式，或者?件后綴名被篡改。?般來說，?件后綴名會(huì)被改成勒索病毒家族的名稱或其家族代表標(biāo)志，如：GlobeImposter家族的后綴為.dream、.TRUE、.CHAK等；Satan家族的后綴.satan、sicck；Crysis家族的后綴有.ARROW、.arena等。下?為電腦感染勒索病毒后，?種典型的?件后綴名被篡改或?件圖標(biāo)變?yōu)椴豢纱蜷_的?意圖。當(dāng)我們看到上述三個(gè)現(xiàn)象的時(shí)候，說明服務(wù)器已經(jīng)遭到勒索病毒的攻擊，此時(shí)，如果我們倉促的進(jìn)?不正確的處置，反?可能會(huì)進(jìn)?步擴(kuò)???的損失。所以，請(qǐng)保持冷靜不要驚慌失措，現(xiàn)在我們需要做的是如何最?化的減少損失，并阻??客繼續(xù)去攻擊其他服務(wù)器。具體操作步驟請(qǐng)?下?章。第三章如何進(jìn)??救當(dāng)我們已經(jīng)確認(rèn)感染勒索病毒后，應(yīng)當(dāng)及時(shí)采取必要的?救措施。之所以要進(jìn)??救，主要是因?yàn)椋旱却龑I(yè)?員的救助往往需要?定的時(shí)間，采取必要的?救措施，可以減少等待過程中，損失的進(jìn)?步擴(kuò)?。例如：與被感染主機(jī)相連的其他服務(wù)器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取?救措施的?的是為了及時(shí)?損，將損失降到最低。正確處置?法(?)隔離中招主機(jī)處置?法當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)?即隔離被感染主機(jī)，隔離主要包括物理隔離和訪問控制兩種?段，物理隔離主要為斷?或斷電；訪問控制主要是指對(duì)訪問?絡(luò)資源的權(quán)限進(jìn)?嚴(yán)格的認(rèn)證和控制。1、物理隔離物理隔離常?的操作?法是斷?和關(guān)機(jī)。斷?主要操作步驟包括：拔掉?線、禁??卡，如果是筆記本電腦還需關(guān)閉?線?絡(luò)。2、訪問控制訪問控制常?的操作?法是加策略和修改登錄密碼。加策略主要操作步驟為：在?絡(luò)側(cè)使?安全設(shè)備進(jìn)?進(jìn)?步隔離，如防?墻或終端安全監(jiān)測(cè)系統(tǒng)；避免將遠(yuǎn)程桌?服務(wù)（RDP，默認(rèn)端?為3389）暴露在公?上（如為了遠(yuǎn)程運(yùn)維?便確有必要開啟，則可通過VPN登錄后才能訪問），并關(guān)閉445、139、135等不必要的端?。修改登錄密碼的主要操作為：?刻修改被感染服務(wù)器的登錄密碼；其次，修改同?局域?下的其他服務(wù)器密碼；第三，修改最?級(jí)系統(tǒng)管理員賬號(hào)的登錄密碼。修改的密碼應(yīng)為?強(qiáng)度的復(fù)雜密碼，?般要求：采???寫字?、數(shù)字、特殊符號(hào)混合的組合結(jié)構(gòu)，?令位數(shù)?夠?（15位、兩種組合以上）。處置原理隔離的?的，???是為了防?感染主機(jī)?動(dòng)通過連接的?絡(luò)繼續(xù)感染其他服務(wù)器；另???是為了防??客通過感染主機(jī)繼續(xù)操控其他服務(wù)器。有?類勒索病毒會(huì)通過系統(tǒng)漏洞或弱密碼向其他主機(jī)進(jìn)?傳播，如WannaCry勒索病毒，?旦有?臺(tái)主機(jī)感染，會(huì)迅速感染與其在同??絡(luò)的其他電腦，且每臺(tái)電腦的感染時(shí)間約為1-2分鐘左右。所以，如果不及時(shí)進(jìn)?隔離，可能會(huì)導(dǎo)致整個(gè)局域?主機(jī)的癱瘓。另外，近期也發(fā)現(xiàn)有?客會(huì)以暴露在公?上的主機(jī)為跳板，再順藤摸?找到核?業(yè)務(wù)服務(wù)器進(jìn)?勒索病毒攻擊，造成更?規(guī)模的破壞。當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，應(yīng)?即隔離被感染主機(jī)，防?病毒繼續(xù)感染其他服務(wù)器，造成?法估計(jì)的損失。(?)排查業(yè)務(wù)系統(tǒng)處置?法在已經(jīng)隔離被感染主機(jī)后，應(yīng)對(duì)局域?內(nèi)的其他機(jī)器進(jìn)?排查，檢查核?業(yè)務(wù)系統(tǒng)是否受到影響，?產(chǎn)線是否受到影響，并檢查備份系統(tǒng)是否被加密等，以確定感染的范圍。處置原理業(yè)務(wù)系統(tǒng)的受影響程度直接關(guān)系著事件的?險(xiǎn)等級(jí)。評(píng)估?險(xiǎn)，及時(shí)采取對(duì)應(yīng)的處置措施，避免更?的危害。另外，備份系統(tǒng)如果是安全的，就可以避免?付贖?，順利的恢復(fù)?件。所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，并確認(rèn)已經(jīng)隔離被感染主機(jī)的情況下，應(yīng)?即對(duì)核?業(yè)務(wù)系統(tǒng)和備份系統(tǒng)進(jìn)?排查。(三)聯(lián)系專業(yè)?員在應(yīng)急?救處置后，建議第?時(shí)間聯(lián)系專業(yè)的技術(shù)??或安全從業(yè)者，對(duì)事件的感染時(shí)間、傳播?式，感染家族等問題進(jìn)?排查。個(gè)?中招??可以：通過360安全衛(wèi)?的反勒索服務(wù)，聯(lián)系專業(yè)??。??在進(jìn)?“360安全衛(wèi)?”-“反勒索服務(wù)”選項(xiàng)后，需要同時(shí)開啟360?檔保護(hù)和360反勒索服務(wù)。開啟這兩項(xiàng)服務(wù)后，若您被感染勒索病毒，點(diǎn)擊“申請(qǐng)服務(wù)”按鈕即可申請(qǐng)理賠。政企機(jī)構(gòu)中招客?可以聯(lián)系：360企業(yè)安全集團(tuán)，全國400應(yīng)急熱線：4008136360轉(zhuǎn)2轉(zhuǎn)4。錯(cuò)誤處置?法(?)使?移動(dòng)存儲(chǔ)設(shè)備錯(cuò)誤操作當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，在中毒電腦上使?U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備。錯(cuò)誤原理勒索病毒通常會(huì)對(duì)感染電腦上的所有?件進(jìn)?加密，所以當(dāng)插上U盤或移動(dòng)硬盤時(shí)，也會(huì)?即對(duì)其存儲(chǔ)的內(nèi)容進(jìn)?加密，從?造成損失擴(kuò)?。從?般性原則來看，當(dāng)電腦感染病毒時(shí)，病毒也可能通過U盤等移動(dòng)存儲(chǔ)介質(zhì)進(jìn)?傳播。所以，當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，切勿在中毒電腦上使?U盤、移動(dòng)硬盤等設(shè)備。(?)讀寫中招主機(jī)上的磁盤?件錯(cuò)誤操作當(dāng)確認(rèn)服務(wù)器已經(jīng)被感染勒索病毒后，輕信?上的各種解密?法或?具，??操作。反復(fù)讀取磁盤上的?件后反?降低數(shù)據(jù)正確恢復(fù)的概率。錯(cuò)誤原理很多流?勒索病毒的基本加密過程為：?先，將保存在磁盤上的?件讀取到內(nèi)存中；其次，在內(nèi)存中對(duì)?件進(jìn)?加密；最后，將修改后的?件重新寫到磁盤中，并將原始?件刪除。也就是說，很多勒索病毒在?成加密?件的同時(shí)，會(huì)對(duì)原始?件采取刪除操作。理論上說，使?某些專?的數(shù)據(jù)恢復(fù)軟件，還是有可能部分或全部恢復(fù)被加密?件的。?此時(shí)，如果??對(duì)電腦磁盤進(jìn)?反復(fù)的讀寫操作，有可能破壞磁盤空間上的原始?件，最終導(dǎo)致原本還有希望恢復(fù)的?件徹底?法恢復(fù)。第四章如何恢復(fù)系統(tǒng)感染勒索病毒后，對(duì)于政企機(jī)構(gòu)來說，最重要的就是怎么恢復(fù)被加密的?件了。?般來說，可以通過歷史備份、解密?具或?付贖?來恢復(fù)被感染的系統(tǒng)。但是這三種操作都有?定的難度，因此，建議受害者不要??操作。如果您想恢復(fù)系統(tǒng)，請(qǐng)聯(lián)系專業(yè)的技術(shù)?員或安全?商，確保贖?的?付和解密過程正確進(jìn)?，避免其他不必要的損失。政企機(jī)構(gòu)中招客?可以聯(lián)系：360企業(yè)安全集團(tuán)，全國400應(yīng)急熱線：4008136360轉(zhuǎn)2轉(zhuǎn)4。歷史備份還原如果事前已經(jīng)對(duì)?件進(jìn)?了備份，那么我們將不會(huì)再擔(dān)憂和煩惱?？梢灾苯訌脑票P、硬盤或其他災(zāi)備系統(tǒng)中，恢復(fù)被加密的?件。值得注意的是，在?件恢復(fù)之前，應(yīng)確保系統(tǒng)中的病毒已被清除，已經(jīng)對(duì)磁盤進(jìn)?格式化或是重裝系統(tǒng)，以免插上移動(dòng)硬盤的瞬間，或是?盤下載?件到本地后，備份?件也被加密。事先進(jìn)?備份，既是最有效也是成本最低的恢復(fù)?件的?式。解密?具恢復(fù)絕?多數(shù)勒索病毒使?的加密算法都是國際公認(rèn)的標(biāo)準(zhǔn)算法，這種加密?式的特點(diǎn)是，只要加密密鑰?夠?，普通電腦可能需要數(shù)?萬年才能夠破解，破解成本是極?的。通常情況，如果不?付贖?是?法解密恢復(fù)?件的。但是，對(duì)于以下三種情況，可以通過360提供的解密?具恢復(fù)感染?件。勒索病毒的設(shè)計(jì)編碼存在漏洞或并未正確實(shí)現(xiàn)加密算法勒索病毒的制造者主動(dòng)發(fā)布了密鑰或主密鑰。執(zhí)法機(jī)構(gòu)查獲帶有密鑰的服務(wù)器，并進(jìn)?了分享?？梢酝ㄟ^?站（\hhttp://lesuobingdu.#/）查詢哪些勒索病毒可以解密。例如：今年下半年?規(guī)模流?的GandCrab家族勒索病毒，GandCrabV5.0.3及以前的版本可以通過360解密?師進(jìn)?解密。需要注意的是：使?解密?具之前，務(wù)必要備份加密的?件，防?解密不成功導(dǎo)致?法恢復(fù)數(shù)據(jù)。專業(yè)?員代付勒索病毒的贖??般為?特幣或其他數(shù)字貨幣，數(shù)字貨幣的購買和?付對(duì)?般??來說具有?定的難度和?險(xiǎn)。具體主要體現(xiàn)在：統(tǒng)計(jì)顯?，95%以上的勒索病毒攻擊者來?境外，由于語?不通，容易在溝通中產(chǎn)?誤解，影響?件的解密。數(shù)字貨幣交付需要在特定的交易平臺(tái)下進(jìn)?，不熟悉數(shù)字貨幣交易時(shí)，容易?才兩空。所以，即使?付贖?可以解密，也不建議???付贖?。請(qǐng)聯(lián)系專業(yè)的安全公司或數(shù)據(jù)恢復(fù)公司進(jìn)?處理，以保證數(shù)據(jù)能成功恢復(fù)。重裝系統(tǒng)當(dāng)?件?法解密，也覺得被加密的?件價(jià)值不?時(shí)，也可以采?重裝系統(tǒng)的?法，恢復(fù)系統(tǒng)。但是，重裝系統(tǒng)意味著?件再也?法被恢復(fù)。另外，重裝系統(tǒng)后需更新系統(tǒng)補(bǔ)丁，并安裝殺毒軟件和更新殺毒軟件的病毒庫到最新版本，?且對(duì)于服務(wù)器也需要進(jìn)?針對(duì)性的防?加固。第五章如何加強(qiáng)防護(hù)終端??安全建議對(duì)于普通終端??，我們給出以下建議，以幫助??免遭勒索病毒的攻擊：養(yǎng)成良好的安全習(xí)慣電腦應(yīng)當(dāng)安裝具有云防護(hù)和主動(dòng)防御功能的安全軟件，不隨意退出安全軟件或關(guān)閉防護(hù)功能，對(duì)安全軟件提?的各類?險(xiǎn)?為不要輕易放?。使?安全軟件的第三?打補(bǔ)丁功能對(duì)系統(tǒng)進(jìn)?漏洞管理，第?時(shí)間給操作系統(tǒng)和IE、Flash等常?軟件打好補(bǔ)丁，定期更新病毒庫，以免病毒利?漏洞?動(dòng)?侵電腦。對(duì)系統(tǒng)??密碼及時(shí)進(jìn)?更改，并使?LastPass等密碼管理器對(duì)相關(guān)密碼進(jìn)?加密存儲(chǔ)，避免使?本地明??本的?式進(jìn)?存儲(chǔ)。系統(tǒng)相關(guān)??杜絕使?弱?令，同時(shí)，應(yīng)該使??復(fù)雜強(qiáng)度的密碼，8位以上盡量包含??寫字?、數(shù)字、特殊符號(hào)等的混合密碼，加強(qiáng)運(yùn)維?員安全意識(shí)，禁?密碼重?的情況出現(xiàn)，并定期對(duì)密碼進(jìn)?更改。重要?檔數(shù)據(jù)應(yīng)經(jīng)常做備份，?旦?件損壞或丟失，也可以及時(shí)找回。減少危險(xiǎn)的上?操作不要瀏覽來路不明的?情、賭博等不良信息?站，這些?站經(jīng)常被?于發(fā)動(dòng)掛?、釣?攻擊。不要輕易打開陌??發(fā)來的郵件附件或郵件正?中的?址鏈接。不要輕易打開后綴名為js、vbs、wsf、bat等腳本?件和exe、scr等可執(zhí)?程序，對(duì)于陌??發(fā)來的壓縮?件包，更應(yīng)提?警惕，應(yīng)先掃毒后打開。電腦連接移動(dòng)存儲(chǔ)設(shè)備，如U盤、移動(dòng)硬盤等，應(yīng)?先使?安全軟件檢測(cè)其安全性。對(duì)于安全性不確定的?件，可以選擇在安全軟件的沙箱功能中打開運(yùn)?，從?避免??對(duì)實(shí)際系統(tǒng)的破壞。采取及時(shí)的補(bǔ)救措施1.安裝“360安全衛(wèi)?”并開啟“反勒索服務(wù)”，?旦電腦被勒索病毒感染，可以通過360反勒索服務(wù)申請(qǐng)贖?賠付，以盡可能的減???經(jīng)濟(jì)損失。政企??安全建議如??處存在虛擬化環(huán)境，建議??安裝360?神虛擬化安全管理系統(tǒng)，進(jìn)?步提升防惡意軟件、防暴?破解等安全防護(hù)能?。安裝天擎等終端安全軟件，及時(shí)給辦公終端打補(bǔ)丁修復(fù)漏洞，包括操作系統(tǒng)以及第三?應(yīng)?的補(bǔ)丁。針對(duì)政企??的業(yè)務(wù)服務(wù)器，除了安裝殺毒軟件還需要部署安全加固軟件，阻斷?客攻擊。企業(yè)??應(yīng)采??夠復(fù)雜的登錄