中了勒索病毒？别慌！黄金救援指南

当您发现电脑文件全部变成奇怪的后缀名，并看到勒索信时，恐慌是大多数人第一反应，但请务必第一时间压下恐慌！因为后续的每一步操作都至关重要！错误的操作可能导致无法挽回的损失，而严格遵循下方指南，才是将损失降至最低的黄金救援流程。

立即采取紧急措施（黄金法则）

🛑 1、立即断网！

操作： 拔掉网线、关闭Wi-Fi和蓝牙. 对于台式机，直接拔掉网线；对于笔记本，关闭物理Wi-Fi开关或快捷键断开。

原因： 阻止病毒与黑客的控制服务器通信，防止其继续加密您更多的文件，并避免病毒在局域网内传播，感染其他电脑。

🛑 2、断开所有外接设备！

操作： 立即拔掉移动硬盘、U盘、SD卡、共享的网络驱动器等所有外部存储设备。

原因： 防止勒索病毒将这些设备中的文件也一并加密。

⚠️ 3、重要：不要关闭电脑！

操作： 保持电脑当前开机状态，但已断开网络。

原因： 某些勒索病毒在重启后可能会删除卷影备份（系统自带的还原点），使数据恢复变得更加困难. 在专业人士指导前，不要轻易重启。

确认感染情况与隔离

🔍 识别病毒类型：

查看勒索信. 通常文件会被加密并加上奇怪的扩展名（如.locked, .crypt, .wncry等），桌面会有一个文本文件（如HOW_TO_DECRYPT.txt）告知你被勒索了。

重要： 可以尝试使用一些在线工具（在另一台安全的电脑上操作）来识别病毒，例如 Nomoreransom.org 或 Emsisoft 的解密工具。

尝试恢复数据

💾 在尝试任何操作前，请确保电脑已完全断网！

🔹1、检查是否有备份（最重要！）

这是最重要也是最有效的恢复方式. 如果您有定期备份数据到移动硬盘、NAS或云盘的习惯，请直接格式化受感染的电脑，然后从干净的备份中恢复数据。

🔹2、尝试使用系统还原（适用于部分情况）

如果系统自带的“系统保护”功能是开启的，你可以尝试将系统还原到感染之前的时间点。

操作： 在Windows搜索栏输入“创建还原点” -> 进入“系统保护”选项卡 -> 点击“系统还原”. 选择一个感染日期之前的还原点进行操作。

🔹3、检查卷影副本（Shadow Volume Copies）是否幸存

这是Windows用于创建“上一版本”文件的功能. 有些勒索病毒会删除它们，但值得一试. 右键点击一个被加密的文件 -> 选择“属性” -> 切换到“以前的版本”选项卡. 看看是否有未加密的旧版本可以恢复。

彻底清除病毒与重装系统

🛠️ 最安全、最彻底的方法是重装操作系统。

格式化硬盘并重装系统（关键操作）： 使用Windows安装U盘或系统恢复分区，启动电脑，在安装过程中删除所有分区，然后对整个硬盘进行全新安装. 只有这样才能确保100%清除掉隐藏在系统各处的病毒残留。

加强防范，避免再次发生

🛡️ 教训必须转化为行动，构建真正的安全防线。

• 养成备份习惯： 遵循 3-2-1 备份原则（3个副本，2种介质，1个异地）。
• 保持系统与软件更新： 及时安装安全补丁。
• 提高安全意识： 不点击不明链接和附件。
• 安装专业安全软件： 使用信誉良好的杀毒软件。
• 关闭不必要的端口： 如RDP端口3389。

数据恢复遇到困难？

如果您尝试了上述方法仍无法恢复重要数据，请立即联系我们的专业安全团队. 我们提供免费的病毒样本分析和解密评估. 承诺不成功不收费. 拨打24小时紧急救援热线：15637552575，或扫描页面右侧/底部微信二维码咨询。