服务器被勒索病毒攻击怎么办

可以先在网上查找有没有解密工具，如果是老款的勒索病毒，有可能是由加密工具放出的。

这里需要的注意一点是，如果找到解密工具，最好是先备份再解密。如果版本不一致，可能会解密失败，但同时文件底层扇区会进行相应的解密修改，导致后期就算找到一致的解密工具或解密秘钥，都是没办法再成功解密的，因为加密信息已经不一致了。

推荐几个解密工具集下载地址：

No More Ransom ：www.nomoreransom.org/zh/index.html

Emsisoft ：www.emsisoft.com/ransomware-decryption-tools/

卡巴斯基：

https://noransom.kaspersky.com/

MalwareHunterTeam ：https://id-ransomware.malwarehunterteam.com/

目前最常见的勒索病毒后缀有：

eking、mallox、sojusz、avast、360、wncry、makop、locked、bozon、fc、lockbit、rook、eight、devos、865qqz、666qqz等等。

被勒索病毒破坏的数据库大多数都是可以修复的，有成熟的解决方案，不用联系黑客付高额赎金解密，而且解密还是有风险的，不一定能成功获取解密程序。

中了勒索病毒之后的处理流程如下：

1、隔离被感染的服务器主机

计算机中毒重要是跟外部的网络保持连接接触，中了病毒的网络设备，要及时切断网络连接。拔掉中毒主机网线，断开主机与网络的连接，同时还要注意关闭主机的无线网络、蓝牙连接等，并拔掉连接在主机上的所有外部存储设备。

2、确定被感染的范围

切断服务器主机与外界的连接后，接下来需要查看主机中的所有文件夹、网络共享文件目录、外置硬盘、USB驱动器，以及主机上云存储中的文件等，是否已经全部被加密了，检查确定哪些文件还没有被加密处理。

3、查看日志信息，溯源分析

主机被勒索病毒加密之后，查看日志服务信息，看看黑客在主机上留上一些什么勒索提示信息，确定是哪一种勒索病毒，判断此勒索病毒可能是通过哪种方式进来的。比如有些是通过网页挂马方式传播，有的是通过远程控制程序下载传播，也有可能是通过开放的业务端口进来的。

4、系统修复

在确定了病毒样式，提取主机日志，进行溯源分析之后，找到相应的漏洞，则要进行系统的修复工作。彻底清除病毒，安装高强度防火墙，防病毒软件等。关闭不必要的端口、网络共享、打上相应的漏洞补丁，同时也需要及时修改主机密码，防止被二次感染勒索病毒。

5、数据和业务的恢复

前一篇提到过的数据备份是一个重要的操作习惯，如果主机上的数据存在备份，则可以利用备份数据快速恢复业务。

---