认识勒索软件及应急处置

勒索软件（ransomware）是一种流行的木马，通过骚扰、恐吓甚至采用绑架用户文件等方式，使用户数据资产或计算资源无法正常使用，并以此为条件向用户勒索钱财。这类用户数据资产包括文档、邮件、数据库、源代码、图片、压缩文件等多种文件。赎金形式包括真实货币、比特币或其它虚拟货币。

一般来说，勒索软件作者还会设定一个支付时限，有时赎金数目也会随着时间的推移而上涨。有时，即使用户支付了赎金，最终也还是无法正常使用系统，无法还原被加密的文件。

一、主要的勒索形式：

文件加密勒索 锁屏勒索

系统锁定勒索 数据泄漏勒索

二、主要的传播方式

钓鱼邮件传播 网页挂马传播

漏洞传播 远程登录入侵传播

供应链传播 移动介质传播

三、勒索软件应急处置方法

当机器感染勒索软件后，不要惊慌，可立即开展以下应急工作，降低勒索软件产生的危害。

01 隔离网络

采用拔掉网线或者禁用网络等方式切断受感染机器的网络连接，避免网络内其他机器被进一步感染渗透。

02分类处置

当发现机器上重要文件尚未被加密时，应立即终止勒索软件进程或者关闭机器，及时止损；当发现机器上重要文件已被全部加密时，可保持机器开机原状态，等待专业处置。

03 及时报告

及时报告网络管理员，通知其他可能会受到勒索软件影响的人员。造成重大影响时，及时向网络安全主管部门报告。

04 排查加固

立即视情况切断网络内机器间不必要的网络连接，修改网络内机器的弱口令密码。全面排查勒索软件植入途径，并及时堵塞漏洞。尽快对网络内机器进行全面漏洞扫描与安全加固。

05 专业恢复

请专业公司和人员进行数据和系统恢复工作。