前言：“当您发现电脑文件全部变成奇怪的后缀名，并看到勒索信时，恐慌是大多数人第一反应，但请务必第一时间压下恐慌！因为后续的每一步操作都至关重要！ 错误的操作可能导致无法挽回的损失，而严格遵循下方指南，才是将损失降至最低的黄金救援流程。”

❶ 立即采取紧急措施（黄金法则）

🛑 1、立即断网！

👉 操作： 拔掉网线、关闭Wi-Fi和蓝牙。对于台式机，直接拔掉网线；对于笔记本，关闭物理Wi-Fi开关或快捷键断开。

💡 原因： 阻止病毒与黑客的控制服务器通信，防止其继续加密您更多的文件，并避免病毒在局域网内传播，感染其他电脑。

🛑 2、断开所有外接设备！

👉 操作： 立即拔掉移动硬盘、U盘、SD卡、共享的网络驱动器等所有外部存储设备。

💡 原因： 防止勒索病毒将这些设备中的文件也一并加密。

⚠️ 3、重要：不要关闭电脑！

👉 操作： 保持电脑当前开机状态，但已断开网络。

💡 原因： 某些勒索病毒在重启后可能会删除卷影备份（系统自带的还原点），使数据恢复变得更加困难。在专业人士指导前，不要轻易重启。

❷ 确认感染情况与隔离

🔍 识别病毒类型：

查看勒索信。通常文件会被加密并加上奇怪的扩展名（如.locked, .crypt, .wncry等），桌面会有一个文本文件（如HOW_TO_DECRYPT.txt）告知你被勒索了。

⚠️重要： 可以尝试使用一些在线工具（在另一台安全的电脑上操作）来识别病毒，例如：

Nomoreransom.org： 这是由执法机构和安全公司联合运营的网站，提供了“Crypto Sheriff”工具，你可以上传一个被加密的文件和勒索信，它会尝试识别是哪种病毒，并告知是否有免费的解密工具。

Emsisoft 的解密工具： Emsisoft 公司为许多已知的勒索病毒提供了免费解密工具。

❸ 尝试恢复数据

💾 在尝试任何操作前，请确保电脑已完全断网！

🔹1、检查是否有备份（最重要！）

这是最重要也是最有效的恢复方式。如果您有定期备份数据到移动硬盘、NAS或云盘的习惯，请直接格式化受感染的电脑，然后从干净的备份中恢复数据。

🔹2、尝试使用系统还原（适用于部分情况）

如果系统自带的“系统保护”功能是开启的，你可以尝试将系统还原到感染之前的时间点。

👉 操作： 在Windows搜索栏输入“创建还原点” -> 进入“系统保护”选项卡 -> 点击“系统还原”。选择一个感染日期之前的还原点进行操作。

💡 注意： 这通常只能恢复系统文件和一些程序文件，对个人文档（如图片、文档）可能无效。而且很多勒索病毒会故意删除所有还原点。

🔹3、检查卷影副本（Shadow Volume Copies）是否幸存

💡 提示：这是Windows用于创建“上一版本”文件的功能。有些勒索病毒会删除它们，但值得一试。

👉 操作： 右键点击一个被加密的文件 -> 选择“属性” -> 切换到“以前的版本”选项卡。看看是否有未加密的旧版本可以恢复。

🔹4、使用免费的解密工具：

正如第二步提到的，访问 Nomoreransom.org 或 Emsisoft 的网站，根据你识别的病毒类型，下载对应的免费解密工具。请务必在断网的环境下，按照工具的说明进行操作。

❹ 彻底清除病毒与重装系统

🛠️ 最安全、最彻底的方法是重装操作系统。

🔹1、备份加密文件（可选）

在重装系统前，你可以将一个被加密的文件和勒索信备份到一个U盘里。这或许在未来（当安全公司破解了该病毒后）能用来恢复数据。但这不是必须的。

🔹2、格式化硬盘并重装系统（关键操作）

👉 操作： 使用Windows安装U盘或系统恢复分区，启动电脑，在安装过程中删除所有分区，然后对整个硬盘进行全新安装。

💡 原因： 只有这样才能确保100%清除掉隐藏在系统各处的病毒残留。简单的杀毒软件扫描可能无法完全清除。

🔹3、安装系统后

​ 恢复数据：在确保系统干净后，如果你有备份，再将数据从干净的备份中复制回来。

​ 加固系统：立即安装并更新杀毒软件/安全防护软件，并进行全盘扫描。

❺ 加强防范，避免再次发生

🛡️ 教训必须转化为行动，构建真正的安全防线。

🔹 1、养成备份习惯： 遵循 3-2-1 备份原则

​ 3 个数据副本

​ 2 种不同存储介质（如硬盘+云盘）

​ 1 个异地备份（如：将一份备份盘放在办公室或父母家）

🔹2、保持系统与软件更新

及时安装操作系统和所有软件（尤其是浏览器、Office、Adobe系列）的安全补丁。

🔹3、提高安全意识

不要点击来历不明的邮件链接和附件，不要从非官方网站下载软件。

🔹4、安装专业安全软件

使用信誉良好的杀毒软件/终端防护软件，并保持其病毒库更新。

🔹5、关闭不必要的端口

如远程桌面（RDP）端口3389，如果不需要使用，请务必关闭。

总结流程图

发现中勒索病毒 → 立即断网、断开外设 → 确认病毒类型（Nomoreransom.org） → 检查备份/尝试免费解密工具 → 【最终手段】格式化重装系统 → 从干净备份恢复数据 → 加强安全防护

我们希望这份指南您永远用不上，但一旦需要，它就在您手边。

如有相关技术问题或困扰，欢迎私信我们咨询喔~

关注我们公众号【勒索病毒前线】，可免费获取更多【勒索病毒】防护实战干货与前沿洞察！