很多技術員,程序員,網管,看到服務器的數據被加密了,服務進程被停止了,文件名在一個個的神奇的改變,頓時慌了神,對於第一個發現病毒作案現場的目擊者,應該如何應對和處理這種突發的***呢?
根據我們多年的數據恢復與病毒解密處理經驗,我們認爲發現病毒加密數據之後應該立即做如下幾點:
1:立即斷網;
2:立即檢查病毒加密時間。(觀察文件修改時間)
規則A:立即斷電或關機。若勒索加密病毒運行加密的時間在0-2小時內,根據你的主機文件個數和數據容量多少,一般情況下1小時內病毒會加密完成,若你的文件個數和容量比較大,病毒加密時間會時間更長。
規則B:不要關機,如果你發現加密時間已經超過5小時以上,這是你就是關機也沒有用了,所以建議不要關機,這是病毒進程還在內存,對於破解病毒來說,很多密鑰可能在內存或緩存文件,這樣會導致這些重要的數據丟失或改變或覆蓋,不利於後面的數據解密。
3:殺毒軟件;
往往中毒的主機殺毒軟件都沒有防守住,所以它殺不掉病毒,目前據我們的統計,殺毒軟件是無法直接解密數據的,所以一般情況下,無需運行殺毒軟件(此時殺毒軟件進程多數被終止了),也無需安裝新的殺毒軟件,因爲這些操作都會刪除部分感染文件,對於重要被感染的數據萬一被殺毒軟件清除,就不利於數據恢復。
4:尋找專業機構;
數據被病毒加密勒索,十萬火急,特別是wallet病毒,往往加密對象是服務器主機,嚴重影響企業日常運行,但是我們建議是,慌亂之中不要急。堅持專業途徑解決問題。聯繫復旦解密公司,fu-dan.cn/dede/
規則A:勒索病毒惡性程度很高,採用高級的加密算法,非專業人士自己不要嘗試,以免感染別的主機擴大故障
規則B:尋求專業的數據恢復公司,尋找專業人員協助解密。
規則C:另外***犯罪分子一般在國外,支付比特幣贖金後如何保障貨款安全,風險極大,我們已經碰到過用戶付錢後,仍然無法解密數據的案例。