【51CTO.com快譯】安全專家不建議用戶在感染了勒索軟件后重啟計算機，因為這在某些情況下可能會幫助惡意軟件。

[[281521]]

相反，專家建議受害者使計算機休眠，與網絡斷開連接，尋求專業IT支持公司的幫助。關閉計算機電源也是一種辦法，但是使計算機休眠來得更明智，因為這可以保存內存的副本：一些惡意的勒索軟件可能有時會在內存中留下加密密鑰的副本。

專家建議不要重啟PC，因為最近對過去幾年淪為勒索軟件受害者的1180名美國成年人進行的一項調查顯示，將近30%的受害者選擇重啟計算機來應對感染。

但是，雖然在安全模式下重啟是刪除較舊的屏幕鎖定類型的勒索軟件的一種好方法，在處理加密文件的現代勒索軟件時不建議這么做。

Bill Siegel是提供勒索軟件數據恢復服務的Coveware公司的首席執行官兼聯合創始人，本周他在電子郵件中告訴ZDNet：“通常而言，實際上加密數據的[勒索軟件]可執行文件旨在通過連接、映射和掛載的驅動器潛入到特定的計算機。有時，它會被權限問題阻止，因而停止加密。”

Siegel說：“如果你重啟計算機，它又會啟動、試圖完成工作。”

“由于某個幸運的錯誤或問題，部分加密的計算機只是部分加密，因此受害者要抓住機會，別讓惡意軟件完成其工作……不要重啟!”

Siegel告訴ZDNet，這個建議對企業用戶和家庭用戶都適用。

此外，勒索軟件的受害者還應注意，他們要完成勒索軟件恢復過程的兩個階段。

首先是找到勒索軟件的工件(比如進程和引導持久性機制)，并將它們從被感染的主機中刪除。

其次是在有備份機制的情況下恢復數據。

Siegel警告，如果公司未完成第一步，重啟計算機常常會重新啟動勒索軟件的進程，并最終對最近恢復的文件進行加密，這意味著受害者將不得不從頭開始重新開始數據恢復過程。

對于企業而言，這會增加停機時間，并降低公司的經營利潤。

想了解有關處理勒索軟件攻擊的更多信息，你可以查看有關如何刪除勒索軟件的Emsisoft指南(https://blog.emsisoft.com/en/26164/how-to-remove-ransomware-the-right-way-a-step-by-step-guide/)以及有關處理勒索軟件攻擊的Coveware緊急響應指南(https://www.coveware.com/blog/2019/5/2/ransomware-first-response-guide-what-to-do-in-the-oh-t-moment)。

原文標題：Experts: Don't reboot your computer after you've been infected with ransomware，作者：Catalin Cimpanu

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】