【51CTO.com快译】安全专家不建议用户在感染了勒索软件后重启计算机,因为这在某些情况下可能会帮助恶意软件。
相反,专家建议受害者使计算机休眠,与网络断开连接,寻求专业IT支持公司的帮助。关闭计算机电源也是一种办法,但是使计算机休眠来得更明智,因为这可以保存内存的副本:一些恶意的勒索软件可能有时会在内存中留下加密密钥的副本。
专家建议不要重启PC,因为最近对过去几年沦为勒索软件受害者的1180名美国成年人进行的一项调查显示,将近30%的受害者选择重启计算机来应对感染。
但是,虽然在安全模式下重启是删除较旧的屏幕锁定类型的勒索软件的一种好方法,在处理加密文件的现代勒索软件时不建议这么做。
Bill Siegel是提供勒索软件数据恢复服务的Coveware公司的首席执行官兼联合创始人,本周他在电子邮件中告诉ZDNet:“通常而言,实际上加密数据的[勒索软件]可执行文件旨在通过连接、映射和挂载的驱动器潜入到特定的计算机。有时,它会被权限问题阻止,因而停止加密。”
Siegel说:“如果你重启计算机,它又会启动、试图完成工作。”
“由于某个幸运的错误或问题,部分加密的计算机只是部分加密,因此受害者要抓住机会,别让恶意软件完成其工作……不要重启!”
Siegel告诉ZDNet,这个建议对企业用户和家庭用户都适用。
此外,勒索软件的受害者还应注意,他们要完成勒索软件恢复过程的两个阶段。
首先是找到勒索软件的工件(比如进程和引导持久性机制),并将它们从被感染的主机中删除。
其次是在有备份机制的情况下恢复数据。
Siegel警告,如果公司未完成第一步,重启计算机常常会重新启动勒索软件的进程,并最终对最近恢复的文件进行加密,这意味着受害者将不得不从头开始重新开始数据恢复过程。
对于企业而言,这会增加停机时间,并降低公司的经营利润。
想了解有关处理勒索软件攻击的更多信息,你可以查看有关如何删除勒索软件的Emsisoft指南(https://blog.emsisoft.com/en/26164/how-to-remove-ransomware-the-right-way-a-step-by-step-guide/)以及有关处理勒索软件攻击的Coveware紧急响应指南(https://www.coveware.com/blog/2019/5/2/ransomware-first-response-guide-what-to-do-in-the-oh-t-moment)。
原文标题:Experts: Don't reboot your computer after you've been infected with ransomware,作者:Catalin Cimpanu
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】