中了勒索病毒怎麼辦（中過勒索病毒的電腦還能用嗎）

相信很多從事IT職業的人員或多或少都知道一點勒索病毒，有的甚至遭受過勒索病毒的侵擾。如果遭遇到勒索病毒，結果無非就是1:繳納鉅額錢財-破財消災2:資料全部放棄-也是一個不小的損失3:找資料恢復公司恢復-成功率很低4:藉助查殺工具-和第三點一樣成功率很低。無論哪種方法對企業來說都有著很大的損失。（吐槽一下：公司網路安全的時候：IT沒啥用，網路出問題的時候IT沒啥用）

什麼是勒索病毒了？

勒索病毒，是一種新型電腦病毒，主要以郵件、程式木馬、網頁掛馬的形式進行傳播。該病毒性質惡劣、危害極大，一旦感染將給使用者帶來無法估量的損失。這種病毒利用各種加密演算法對檔案進行加密，被感染者一般無法解密，必須拿到解密的私鑰才有可能破解。

   

wannacry病毒

傳播途徑

勒索病毒主要通過三種途徑傳播：漏洞、郵件和廣告推廣。

通過漏洞發起的攻擊佔攻擊總數的87.7%。由於老舊系統存在大量無法及時修復的漏洞，而政府、企業、學校、醫院等區域網機構使用者使用較多的恰恰是老舊系統同時因為這些行業資料異常重要，因此也成為病毒攻擊的重災區，病毒可以通過漏洞在區域網中無限傳播。勒索病毒利用系統漏洞（如：ms17-010）進行攻擊，病毒利用系統漏洞傳播。典型例子：wannacry，satan。

通過郵件與廣告推廣的攻擊分別為7.4%、3.9%。雖然這兩類傳播方式佔比較少，但對於有收發郵件、網頁瀏覽需求的企業而言，依舊會受到威脅。攻擊者通過給受害者傳送釣魚郵件，通過隱藏郵件附件的字尾名等方式，誘騙收件人下載點選偽裝成正常檔案的勒索病毒進行攻擊，也是勒索病毒主要的傳播方式之一。典型例子：GandCrab。

此外，對於某些特別依賴U盤、記錄儀辦公的區域網機構使用者來說，外設則成為勒索病毒攻擊的特殊途徑。

攻擊物件

勒索病毒一般分兩種攻擊物件一部分針對企業使用者，一部分針對所有使用者。

處置流程

   

PDCERF模型

這個就是應急響應中非常有效的PDCERF模型，用來描繪應急響應是非常科學的。

P（pregare 準備）、D（detection 檢測）、C（containment 抑制）、E（eradication 根除）、 R（recovery恢復和跟蹤）、F（follow-up 跟蹤）。

展開講一下PDCERF：

P準備階段：將 PDCERF 中可能會使用到的工具、知識、技能進行提前準備，為後面的流程節約時間。

D檢測階段：目的是確認入侵事件是否發生。常見的漏洞通過分析日誌即可，而病毒需要進行進一步的分析。病毒本身必然有網路行為，記憶體必然有其二進位制程式碼，它要麼是單獨的程序模組，要麼是程序的dll/so模組，通常，為了保活，它極可能還有自己的啟動項、網路心跳包。

C抑制階段：目的是控制事件影響範圍，避免黑客在內網中進一步擴大攻擊面。

E根除階段：目的是避免黑客再度侵入。

R恢復階段：目的是恢復業務的連續性。

F跟蹤總結階段:目的是思考安全事件的根本原因，優化安全策略.

以上，一家之言，歡迎指教