服务器被勒索病毒攻击怎么办

可以先在网上查找有没有解密工具，如果是老款的勒索病毒，有可能是由加密工具放出的。

这里需要的注意一点是，如果找到解密工具，最好是先备份再解密。如果版本不一致，可能会解密失败，但同时文件底层扇区会进行相应的解密修改，导致后期就算找到一致的解密工具或解密秘钥，都是没办法再成功解密的，因为加密信息已经不一致了。

推荐几个解密工具集下载地址：

No More Ransom ：www.nomoreransom.org/zh/index.html

Emsisoft ：www.emsisoft.com/ransomware-decryption-tools/

卡巴斯基：

https://noransom.kaspersky.com/

MalwareHunterTeam ：https://id-ransomware.malwarehunterteam.com/

目前最常见的勒索病毒后缀有：

eking、mallox、sojusz、avast、360、wncry、makop、locked、bozon、fc、lockbit、rook、eight、devos、865qqz、666qqz等等。

被勒索病毒破坏的数据库大多数都是可以修复的，有成熟的解决方案，不用联系黑客付高额赎金解密，而且解密还是有风险的，不一定能成功获取解密程序。

二、BAN IP地址法确定自己受到攻击后就可以使用简单的屏蔽IP的方法将DOS攻击化解。对于DOS攻击来说这种方法非常有效，因为DOS往往来自少量IP地址，而且这些IP地址都是虚构的伪装的。在服务器或路由器上屏蔽攻击者IP后就可以有效的防范DOS的攻击。不过对于DDOS来说则比较麻烦，需要我们对IP地址分析，将真正攻击的IP地址屏蔽。不论是对付DOS还是DDOS都需要我们在服务器上安装相应的防火墙，然后根据防火墙的日志分析来访者的IP，发现访问量大的异常IP段就可以添加相应的规则到防火墙中实施过滤了。当然直接在服务器上过滤会耗费服务器的一定系统资源，所以目前比较有效的方法是在服务器上通过防火墙日志定位非法IP段，然后将过滤条目添加到路由器上。

例如我们发现进行DDOS攻击的非法IP段为211.153.0.0 255.255.0.0，而服务器的地址为61.153.5.1。那么可以登录公司核心路由器添加如下语句的访问控制列表进行过滤。cess-list 108 deny tcp 211.153.0.0 0.0.255.255 61.135.5.1 0.0.0.0，这样就实现了将211.153.0.0 255.255.0.0的非法IP过滤的目的。小提示:在访问控制列表中表示子网掩码需要使用反向掩码，也就是说0.0.255.255表示子网掩码为255.255.0.0 。

三、增加SYN缓存法上面提到的BAN IP法虽然可以有效的防止DOS与DDOS的攻击但由于使用了屏蔽IP功能，自然会误将某些正常访问的IP也过滤掉。所以在遇到小型攻击时不建议大家使用上面介绍的BAN IP法。我们可以通过修改SYN缓存的方法防御小型DOS与DDOS的攻击。该方法在笔者所在公司收效显著。修改SY缓存大小是通过注册表的相关键值完成的。我们将为各位读者介绍在WINDOWS2003和2000中的修改方法。

---