1. 隔离网络,控制影响范围
断开受害服务器网络连接,保留电源状态;如果内网多台设备异常,应优先隔离核心业务网段和文件共享服务器,避免进一步扩散。
企业勒索病毒自救指南
服务器中了勒索病毒怎么办
发现服务器、数据库或共享目录被勒索病毒加密后,最重要的是减少二次破坏、保留恢复条件和溯源证据。以下流程适合企业管理员、IT 运维和业务负责人第一时间参考。
先做三件事
立即隔离受害主机和网段;暂停会覆盖历史数据的自动备份任务;保留勒索信、加密样本、日志和备份状态。不要重装系统、格式化磁盘或反复尝试未知解密工具。
2. 保护备份和快照
检查备份服务器、NAS、云备份和虚拟化快照是否仍可用。不要让自动任务继续覆盖历史版本,必要时先将备份介质离线。
3. 保留样本和日志
保存勒索信、加密后缀、少量加密文件、同类型未加密样本、系统日志、登录日志、数据库日志、EDR 告警和异常进程记录。
4. 做恢复可行性评估
三人行网络安全会结合病毒家族、文件类型、数据库状态、磁盘写入情况和备份链完整性,判断解密、备份回滚、数据修复或业务重建路径。
不建议做的操作
- 不要直接格式化、重装或清空服务器。
- 不要反复向受害磁盘写入新数据。
- 不要随意运行来源不明的解密工具。
- 不要删除勒索信、日志、异常账户和可疑任务。