【51CTO.com快譯】安全專家不建議用戶在感染了勒索軟件后重啟計算機，因為這在某些情況下可能會幫助惡意軟件。

[[281521]]

相反，專家建議受害者使計算機休眠，與網(wǎng)絡(luò)斷開連接，尋求專業(yè)IT支持公司的幫助。關(guān)閉計算機電源也是一種辦法，但是使計算機休眠來得更明智，因為這可以保存內(nèi)存的副本：一些惡意的勒索軟件可能有時會在內(nèi)存中留下加密密鑰的副本。

專家建議不要重啟PC，因為最近對過去幾年淪為勒索軟件受害者的1180名美國成年人進行的一項調(diào)查顯示，將近30%的受害者選擇重啟計算機來應(yīng)對感染。

但是，雖然在安全模式下重啟是刪除較舊的屏幕鎖定類型的勒索軟件的一種好方法，在處理加密文件的現(xiàn)代勒索軟件時不建議這么做。

Bill Siegel是提供勒索軟件數(shù)據(jù)恢復(fù)服務(wù)的Coveware公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人，本周他在電子郵件中告訴ZDNet：“通常而言，實際上加密數(shù)據(jù)的[勒索軟件]可執(zhí)行文件旨在通過連接、映射和掛載的驅(qū)動器潛入到特定的計算機。有時，它會被權(quán)限問題阻止，因而停止加密。”

Siegel說：“如果你重啟計算機，它又會啟動、試圖完成工作。”

“由于某個幸運的錯誤或問題，部分加密的計算機只是部分加密，因此受害者要抓住機會，別讓惡意軟件完成其工作……不要重啟!”

Siegel告訴ZDNet，這個建議對企業(yè)用戶和家庭用戶都適用。

此外，勒索軟件的受害者還應(yīng)注意，他們要完成勒索軟件恢復(fù)過程的兩個階段。

首先是找到勒索軟件的工件(比如進程和引導(dǎo)持久性機制)，并將它們從被感染的主機中刪除。

其次是在有備份機制的情況下恢復(fù)數(shù)據(jù)。

Siegel警告，如果公司未完成第一步，重啟計算機常常會重新啟動勒索軟件的進程，并最終對最近恢復(fù)的文件進行加密，這意味著受害者將不得不從頭開始重新開始數(shù)據(jù)恢復(fù)過程。

對于企業(yè)而言，這會增加停機時間，并降低公司的經(jīng)營利潤。

想了解有關(guān)處理勒索軟件攻擊的更多信息，你可以查看有關(guān)如何刪除勒索軟件的Emsisoft指南(https://blog.emsisoft.com/en/26164/how-to-remove-ransomware-the-right-way-a-step-by-step-guide/)以及有關(guān)處理勒索軟件攻擊的Coveware緊急響應(yīng)指南(https://www.coveware.com/blog/2019/5/2/ransomware-first-response-guide-what-to-do-in-the-oh-t-moment)。

原文標(biāo)題：Experts: Don't reboot your computer after you've been infected with ransomware，作者：Catalin Cimpanu

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】