【51CTO.com快譯】安全專家不建議用戶在感染了勒索軟件后重啟計(jì)算機(jī)，因?yàn)檫@在某些情況下可能會(huì)幫助惡意軟件。

[[281521]]

相反，專家建議受害者使計(jì)算機(jī)休眠，與網(wǎng)絡(luò)斷開(kāi)連接，尋求專業(yè)IT支持公司的幫助。關(guān)閉計(jì)算機(jī)電源也是一種辦法，但是使計(jì)算機(jī)休眠來(lái)得更明智，因?yàn)檫@可以保存內(nèi)存的副本：一些惡意的勒索軟件可能有時(shí)會(huì)在內(nèi)存中留下加密密鑰的副本。

專家建議不要重啟PC，因?yàn)樽罱鼘?duì)過(guò)去幾年淪為勒索軟件受害者的1180名美國(guó)成年人進(jìn)行的一項(xiàng)調(diào)查顯示，將近30%的受害者選擇重啟計(jì)算機(jī)來(lái)應(yīng)對(duì)感染。

但是，雖然在安全模式下重啟是刪除較舊的屏幕鎖定類(lèi)型的勒索軟件的一種好方法，在處理加密文件的現(xiàn)代勒索軟件時(shí)不建議這么做。

Bill Siegel是提供勒索軟件數(shù)據(jù)恢復(fù)服務(wù)的Coveware公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人，本周他在電子郵件中告訴ZDNet：“通常而言，實(shí)際上加密數(shù)據(jù)的[勒索軟件]可執(zhí)行文件旨在通過(guò)連接、映射和掛載的驅(qū)動(dòng)器潛入到特定的計(jì)算機(jī)。有時(shí)，它會(huì)被權(quán)限問(wèn)題阻止，因而停止加密。”

Siegel說(shuō)：“如果你重啟計(jì)算機(jī)，它又會(huì)啟動(dòng)、試圖完成工作。”

“由于某個(gè)幸運(yùn)的錯(cuò)誤或問(wèn)題，部分加密的計(jì)算機(jī)只是部分加密，因此受害者要抓住機(jī)會(huì)，別讓惡意軟件完成其工作……不要重啟!”

Siegel告訴ZDNet，這個(gè)建議對(duì)企業(yè)用戶和家庭用戶都適用。

此外，勒索軟件的受害者還應(yīng)注意，他們要完成勒索軟件恢復(fù)過(guò)程的兩個(gè)階段。

首先是找到勒索軟件的工件(比如進(jìn)程和引導(dǎo)持久性機(jī)制)，并將它們從被感染的主機(jī)中刪除。

其次是在有備份機(jī)制的情況下恢復(fù)數(shù)據(jù)。

Siegel警告，如果公司未完成第一步，重啟計(jì)算機(jī)常常會(huì)重新啟動(dòng)勒索軟件的進(jìn)程，并最終對(duì)最近恢復(fù)的文件進(jìn)行加密，這意味著受害者將不得不從頭開(kāi)始重新開(kāi)始數(shù)據(jù)恢復(fù)過(guò)程。

對(duì)于企業(yè)而言，這會(huì)增加停機(jī)時(shí)間，并降低公司的經(jīng)營(yíng)利潤(rùn)。

想了解有關(guān)處理勒索軟件攻擊的更多信息，你可以查看有關(guān)如何刪除勒索軟件的Emsisoft指南(https://blog.emsisoft.com/en/26164/how-to-remove-ransomware-the-right-way-a-step-by-step-guide/)以及有關(guān)處理勒索軟件攻擊的Coveware緊急響應(yīng)指南(https://www.coveware.com/blog/2019/5/2/ransomware-first-response-guide-what-to-do-in-the-oh-t-moment)。

原文標(biāo)題：Experts: Don't reboot your computer after you've been infected with ransomware，作者：Catalin Cimpanu

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】