服务器中毒

没有

现在开始备份

已经无法访问磁盘了么?即使使用 PE/LiveCD?
数据库和应用配置文件之类的能导出来问题就不大

你这啥都不说
行吧
默认中勒索病毒
找个安全公司碰碰运气去

别这么问问题,简直在找喷。

@newaccount 能进系统 但是 d 盘的文件都带后缀了 就是勒索方的邮箱 应用挂了 本地数据库备份的挂了

找找特征，确定是什么勒索病毒，有一些勒索病毒可以在网上直接找到解锁的工具。别重启，先断网。解决不了找一找专门的安全公司，咨询一下能不能做，不能做的就只能搞赎金了。有种搞灰产的，淘宝也搜搜特征。下次提前做好备份，注意隔离和升级，排查一下怎么进来的，先把口子堵上，要不留了后门，你再怎么解都白费。

可能有点冒昧哈。

为什么服务器没有备份？没有备份平时能睡得着觉么。。。我反正是睡不着。。。软硬件都要有备份我才能睡得着。

1 、通报公司，服务器发生故障，至少 2 天内无法恢复，让大家做好心理准备和工作安排。
私下通知领导和更上级的领导，启动一级战备状态，要求大家把手头资料组织起来，尽可能确保减少对工作影响。

2 、备份现有状态！很重要！

3 、尝试恢复，快速的寻找工具。
如果失败，寻找相关公司报价和保证（基本上没戏）

4 、协助相关公司操作。

5 、组织大家放入新数据

6 、书写事故报告

吃一堑长一智

卷铺盖

你们的运维在干嘛

这个是云服务，还是本地服务器？

客户公司的电脑我第一步就是安装 360 ，平时这玩意谁都看不上，出了问题指望谁都没他靠谱

前年有朋友的公司也中了勒索病毒，创业小公司，从 Windows 服务器公网进来的。
没有备份的话真的没辙，就当作数据全没了吧。
- 尽可能地关掉公网入口，还有禁止 USB 这种设备接到服务器上，内网甚至也只允许部分 IP 跳转访问。
- 业务数据最少一天一备份，备份自动上传到多个备份目的端上，比如内网其他只有写权利的服务器，禁止覆盖和 list 权限，通过其他机器还可以上传到云端比如 COS 桶之类，做好加密保护。
- 做好定期备份数据巡检和备份数据恢复演练，避免方案和路径老化。
- 负责人学一学数据安全方面的基本常识...

看到有人让你联系安全公司，我说下内幕吧。我曾在某安信工作过，后来又去某市的公安打击涉网犯罪。见过很多企业被勒索。能解密的很少，十起勒索案件中最多解密两起。

勒索病毒不会低级到把解密密钥放到本地。如果遇到了这种，就能解密。通过软件逆向工程的方式去获取解密密钥。

解密公司会有一个勒索病毒的数据库，里面记录了哪些可以解密(只有上述提到的这种情况才能解密)，哪些无法解密。

针对可以解密的，网上都有公开的解密工具。例如你可以上这里看看： https://lesuobingdu.360.cn/

而那些无法解密的，最后又是怎么解密的呢？你还会发现万能的某宝，某鱼二手平台有很多解密店铺。

你可能会认为解密很有技术含量，实际上根本不是。

解密公司会和勒索组织谈判，例如原定解密要 3000 元，解密公司可以谈判至 1000 元，然后加上 500 的利润，向你收取 1500 的费用解密。当然，为了不出问题，解密公司会让勒索组织试解密一小部分文件，以确定真的可以解密。

这也是为什么，一些个体工商户和电脑店也能开展解密的业务。解密并不需要专门的逆向工程师。

在安全的最佳实践中，勒索病毒是属于终端安全的范畴。勒索威胁需要事先防护，真中招了就会悔之晚矣。我们需要使用终端安全软件，例如各大安全公司的 edr ，或者是服务器防病毒软件。

断网，别关机，别停数据库服务，正在使用的数据库文件，可能会还没加密。

@onice #16 你好，请教一下。用于加密文件的 AES256 密钥，通过 RSA 4096 位公钥加密后，存放在文件尾部，这种情况会被逆向工程拿到密钥吗？

前段时间看一个帖子，说根据逆向勒索病毒实现的缺陷点，爆破基于时间函数的伪随机密钥，利用 GPU 实现加密密钥和数据的找回

@dode 都是噱头。真正的加密都是直接 RSA ，拿不到私钥解密不了。