中毒后正确的操作步骤总结如上图所示。接下来，让我们详细解释每一步

1.1 数据不重要

如果属于这种情况，恭喜你侥幸逃脱，但不要骄傲得太早，因为如果你不注意安全时间，你的重要数据迟早会被加密，这绝不是危言耸听。

我在2019年了解了一个典型的案例。某集团企业邮件系统被黑客攻破，但只造成一个PC机中毒，IT本部门以侥幸心理和小事化态度格式化重新安装系统，重点修改邮箱密码，未做任何其他安全防护工作。五个月后，整个集团的20多台服务器都被数据加密攻破。 如下图

第一步：找出中毒原因，修复薄弱环节，避免二次中毒。

强烈建议企业找专业的安全团队进行溯源分析。如果你不想花这个费用，且你有自己的研究精神，那就从以下想法开始。

1.从各种网络设备的日志中发现异常(防火墙日志)；

2.从服务器操作系统安全日志中发现异常；（windows黑客在下图中清空了安全日志)

3.从客户端操作系统中发现异常(客户端异常登录日志)

4.利用网络上的免费病毒追溯工具发现异常。

步骤2：格式化中毒服务器并重新安装系统。强烈建议不要使用GHOST安装版本系统。

GHOST该系统有许多系统漏洞和预装软件的后门。若企业单位批量计算机，建议自行制作干净的母盘进行安装。个人电脑也建议用纯版一步一步安装。

注意！！！！！！！！ 注意！！！！！！！注意！！！！！！！！！！

买一套防火墙或者装几套杀毒软件绝对不能解决安全防护问题。

几乎所有的杀毒软件和防火墙都可以避免任何新的勒索病毒变种。这就是为什么主要制造商的杀毒软件和防火墙不断更新他们的病毒库，因为只有安全人员才有机会识别和杀死病毒。这意味着一定有一部分人为了吸引各大防火墙公司的注意，必须先中毒牺牲自己。

1.2 数据重要但不紧急(这里不紧急意味着可以等1-3年)

步骤1. 通过PE进入服务器的模式或安全模式，再次备份重要的数据（最好将全部备份到空移动硬盘）

1.3 重要而紧急的数据

第一步:先断网而不是先关机。 根据大量勒索病毒案例的分析，勒索病毒的黑客攻击时间集中在夜间或非工作日。由于夜间和非工作日不易被发现，因此有足够的时间加密。当发现ERP金蝶用友金融服务器中毒或勒索病毒后，应断开中毒服务器的网线。如果是虚拟机，可以禁用网卡，防止横向扩展。

不用担心关机有两个原因

原因1:如果中毒服务器不关机，可能会从内存中解毒DUMP找到加密的私钥(我们已经成功地用这种方法找到了密钥)，但至少有一种可能。

原因2：如果服务器的数据量非常大，黑客加密程序在加密过程中突然断电，则文件加密不完整，完全损坏。即使是黑客也无法解密此类文件。这个道理很容易理解，就像你在编辑一个EXCEL，如果不保存直接断电，很有可能这个EXCEL再打开就会乱码。财务人员应该都遇到过这个问题。因为我修复了很多损坏的原因EXCEL。