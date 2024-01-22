隔离受感染系统

由于最常见的勒索软件变种会扫描网络漏洞以进行横向传播，因此必须尽快隔离受影响的系统。断开受感染或潜在受感染设备的以太网连接，并关闭 WiFi、蓝牙及其他网络功能。

两项配套措施：

暂停维护任务。 立即禁用受感染系统的自动任务（如删除临时文件或轮转日志）。这些操作可能干扰文件完整性，阻碍勒索软件调查与恢复。

断开备份连接。新型勒索软件常以备份系统为攻击目标以增加恢复难度，请将数据备份切换至离线状态。在彻底清除感染前，严格限制对备份系统的访问权限。

记录勒索信

在进行任何操作前，优先使用手机或相机等独立设备对受感染屏幕上的勒索信进行拍照取证。 此举既能加速恢复流程，也为后续报警或保险索赔提供关键证据。

通知安全团队

断开受感染系统后，请立即向 IT 安全团队通报攻击事件。通常情况下，IT 安全专家能指导后续措施并启动组织的事件响应计划——即您的组织用于检测和应对网络攻击的流程与技术体系。

切勿重启受感染设备

处理勒索软件时需避免启动感染设备。黑客预判这是用户本能反应，部分勒索软件会检测重启尝试并实施额外破坏（如损坏 Windows 系统或删除加密文件）。重启操作还会增加调查难度——宝贵线索存储在计算机内存中，重启将导致数据清零。

相反，建议将受感染系统设置为休眠模式。这样可将内存中的所有数据保存至设备硬盘的参考文件中，便于后续分析。