服务器被勒索病毒攻击怎么办

可以先在网上查找有没有解密工具，如果是老款的勒索病毒，有可能是由加密工具放出的。

这里需要的注意一点是，如果找到解密工具，最好是先备份再解密。如果版本不一致，可能会解密失败，但同时文件底层扇区会进行相应的解密修改，导致后期就算找到一致的解密工具或解密秘钥，都是没办法再成功解密的，因为加密信息已经不一致了。

推荐几个解密工具集下载地址：

No More Ransom ：www.nomoreransom.org/zh/index.html

Emsisoft ：www.emsisoft.com/ransomware-decryption-tools/

卡巴斯基：

https://noransom.kaspersky.com/

MalwareHunterTeam ：https://id-ransomware.malwarehunterteam.com/

目前最常见的勒索病毒后缀有：

eking、mallox、sojusz、avast、360、wncry、makop、locked、bozon、fc、lockbit、rook、eight、devos、865qqz、666qqz等等。

被勒索病毒破坏的数据库大多数都是可以修复的，有成熟的解决方案，不用联系黑客付高额赎金解密，而且解密还是有风险的，不一定能成功获取解密程序。

中了勒索病毒之后的处理流程如下：

1、隔离被感染的服务器主机

计算机中毒重要是跟外部的网络保持连接接触，中了病毒的网络设备，要及时切断网络连接。拔掉中毒主机网线，断开主机与网络的连接，同时还要注意关闭主机的无线网络、蓝牙连接等，并拔掉连接在主机上的所有外部存储设备。

2、确定被感染的范围

切断服务器主机与外界的连接后，接下来需要查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器，以及主机上云存储中的文件等，是否已经全部被加密了，检查确定哪些文件还没有被加密处理。

3、查看日志信息，溯源分析

主机被勒索病毒加密之后，查看日志服务信息，看看黑客在主机上留上一些什么勒索提示信息，确定是哪一种勒索病毒，判断此勒索病毒可能是通过哪种方式进来的。比如有些是通过网页挂马方式传播，有的是通过远程控制程序下载传播，也有可能是通过开放的业务端口进来的。

4、系统修复

在确定了病毒样式，提取主机日志，进行溯源分析之后，找到相应的漏洞，则要进行系统的修复工作。彻底清除病毒，安装高强度防火墙，防病毒软件等。关闭不必要的端口、网络共享、打上相应的漏洞补丁，同时也需要及时修改主机密码，防止被二次感染勒索病毒。

5、数据和业务的恢复

前一篇提到过的数据备份是一个重要的操作习惯，如果主机上的数据存在备份，则可以利用备份数据快速恢复业务。

当我们在现实生活中被敲诈勒索后，我们可以选择马上报警，而在互联网世界中，在遭遇黑客攻击服务器进行勒索时，报警的时间效果却比现实中要苍白无力的多，那么当遭到攻击勒索该怎么办呢？

最常见的方式就是通过DDOS攻击进行勒索，攻击者通过控制将正常请求放大数倍，通过多个网络节点同时发起攻击数量达到一定规模后，就形成了一个“僵尸网络”达到了数万、数十万台的规模，模拟真实用户对目标发起访问请求，从而造成网络资源浪费、链路带宽堵塞、服务器资源耗尽而业务中断，这时攻击者会要求企业支付“保护费”才肯停止攻击。面对这种情况，企业千万不要妥协，一次妥协下次所威胁的话还要妥协吗，正确的做法就是加强自身防御能力，简而有效的办法就是找专业的做高防的安全公司用他们提供的安全产品来防御。

---