當確認感染勒索病毒后，應當及時采取必要的自救措施。之所以要進行自救，主要是因為：等待專業人員的救助往往需要一定的時間，采取必要的自救措施，可以減少等待過程中，損失的進一步擴大。例如：與被感染主機相連的其他服務器也存在漏洞或是有缺陷，將有可能也被感染。所以，采取自救措施的目的是為了及時止損，將損失降到最低。

一、隔離中招主機

當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，隔離主要包括物理隔離和訪問控制兩種手段，物理隔離主要為斷網或斷電；訪問控制主要是指對訪問網絡資源的權限進行嚴格的認證和控制。

1.物理隔離

物理隔離常用的操作方法是斷網和關機。斷網主要操作步驟包括：拔掉網線、禁用網卡，如果是筆記本電腦還需關閉無線網絡。

2.訪問控制

訪問控制常用的操作方法是加策略和修改登錄密碼。加策略主要操作步驟為：在網絡側使用安全設備進行進一步隔離，如防火墻或終端安全監測系統；避免將遠程桌面服務（RDP，默認端口為3389）暴露在公網上（如為了遠程運維方便確有必要開啟，則可通過VPN登錄后才能訪問），并關閉445、139、135等不必要的端口。修改登錄密碼的主要操作為：立刻修改被感染服務器的登錄密碼；其次，修改同一局域網下的其他服務器密碼；第三，修改最高級系統管理員賬號的登錄密碼。修改的密碼應為高強度的復雜密碼，一般要求：采用大小寫字母、數字、特殊符號混合的組合結構，口令位數足夠長（15位、兩種組合以上）。

3.處置原理

隔離的目的，一方面是為了防止感染主機自動通過連接的網絡繼續感染其他服務器；另一方面是為了防止黑客通過感染主機繼續操控其他服務器。有一類勒索病毒會通過系統漏洞或弱密碼向其他主機進行傳播，如WannaCry勒索病毒，一旦有一臺主機感染，會迅速感染與其在同一網絡的其他電腦，且每臺電腦的感染時間約為1-2分鐘左右。所以，如果不及時進行隔離，可能會導致整個局域網主機的癱瘓。另外，近期也發現有黑客會以暴露在公網上的主機為跳板，再順藤摸瓜找到核心業務服務器進行勒索病毒攻擊，造成更大規模的破壞。當確認服務器已經被感染勒索病毒后，應立即隔離被感染主機，防止病毒繼續感染其他服務器，造成無法估計的損失。系統

二、排查業務系統

  在已經隔離被感染主機后，應對局域網內的其他機器進行排查，檢查核心業務系統是否受到影響，生產線是否受到影響，并檢查備份系統是否被加密等，以確定感染的范圍。

業務系統的受影響程度直接關系著事件的風險等級。評估風險，及時采取對應的處置措施，避免更大的危害。另外，備份系統如果是安全的，就可以避免支付贖金，順利的恢復文件。所以，當確認服務器已經被感染勒索病毒后，并確認已經隔離被感染主機的情況下，應立即對核心業務系統和備份系統進行排查。

三、聯系專業人員

   在應急自救處置后，建議第一時間聯系專業的技術人士或安全從業者，對事件的感染時間、傳播方式，感染家族等問題進行排查。

四、錯誤處置方法

1.使用移動存儲設備

（1）錯誤操作

當確認服務器已經被感染勒索病毒后，在中毒電腦上使用U盤、移動硬盤等移動存儲設備。

（2）錯誤原理

   勒索病毒通常會對感染電腦上的所有文件進行加密，所以當插上U盤或移動硬盤時，也會立即對其存儲的內容進行加密，從而造成損失擴大。從一般性原則來看，當電腦感染病毒時，病毒也可能通過U盤等移動存儲介質進行傳播。

   所以，當確認服務器已經被感染勒索病毒后，切勿在中毒電腦上使用U盤、移動硬盤等設備。

2.讀寫中招主機上的磁盤文件

（1）錯誤操作

   當確認服務器已經被感染勒索病毒后，輕信網上的各種解密方法或工具，自行操作。反復讀取磁盤上的文件后反而降低數據正確恢復的概率。

（2）錯誤原理

很多流行勒索病毒的基本加密過程為：

1）首先，將保存在磁盤上的文件讀取到內存中；

2）其次，在內存中對文件進行加密；

3）最后，將修改后的文件重新寫到磁盤中，并將原始文件刪除。

也就是說，很多勒索病毒在生成加密文件的同時，會對原始文件采取刪除操作。理論上說，使用某些專用的數據恢復軟件，還是有可能部分或全部恢復被加密文件的。而此時，如果用戶對電腦磁盤進行反復的讀寫操作，有可能破壞磁盤空間上的原始文件，最終導致原本還有希望恢復的文件徹底無法恢復