那天晚上快10点，我正准备关电脑。

手机突然响了。

一个很久没联系的名字跳出来——前东家的领导。

我心里一紧，这种点打电话，基本没啥好事。

接起来，他一句客套都没有，直接说：

“我们这边出事了，一个用户的服务器数据被加密了，能不能帮看看？”

我问了他第一个问题：

“有备份吗？”

电话那头，安静了两秒。

他说：

“没有。”

那一刻，我其实心里已经有答案了。

但我没直接说。

一、很多人以为“数据丢了可以恢复”，其实不是

我跟他说：

“先别急着下结论，我帮你理一理现在还能做什么。”

他明显松了口气。

很多人就是这样——
只要你没说“没救了”，他就觉得还有希望。

但现实是，勒索软件不是删文件，而是加密文件。

什么意思？

你可以理解成：

你的文件还在，但变成了一堆“乱码”，无法使用。没有密钥，就像没有钥匙的保险箱。

而且现在主流勒索用的都是：

• AES-256
• RSA

说人话就是：

不是你技术不够，是这玩意本来就设计成“解不开”的。

二、我没说“没办法”，但我换了种说法

我跟他说：

“现在我们分三步走，不是直接判断能不能恢复。”

第一步，我让他把勒索信发给我。

我帮他查了一下，有没有对应的解密工具。

一般会去看像 No More Ransom Project 这种地方。

结果很遗憾：

新型勒索，没有公开解密方案！

第二步，我问他：

“你们服务器有没有做过快照？有没有历史文件？”

他回答我：

“不太清楚，IT那边说好像没有。”

这句话，其实已经说明问题了。

连有没有备份都说不清楚的公司，基本就是没做备份！

第三步，我才跟他说那句“实话”：

“如果前面两种方式都不行，那就要考虑一个现实问题——
要不要通过谈判交赎金拿解密密钥与工具。”

他沉默了很久。

然后问我一句：

“你觉得能解吗？”

三、这时候，才是真正的“决策时刻”

我没有直接回答他。

我反问他一句：

“你们这些数据，如果全没了，公司还能正常运转吗？”

他说：

“不行，客户数据都在里面。”

我又问：

“恢复这些数据，值多少钱？”

他说：

“不好算，但肯定比赎金贵。”

我说：

“那你其实已经有答案了。”

四、很多老板，到这一刻才第一次“看懂数据”

后来他跟我说了一句特别真实的话：

“以前觉得数据就是文件，现在才知道，这是命。”

这句话，我听过太多次了。

但几乎每一次，都是在出事之后。

五、真正可怕的，不是勒索软件

很多人把问题归因于：

• 被攻击了
• 防护没做好
• 黑客太厉害

但我跟你说一句大白话：

90%的勒索事故，本质不是攻击问题，而是管理问题

典型三宗罪：

1️⃣ 没有备份

不是没钱，是没当回事

2️⃣ 备份等于摆设

和生产在同一网络，一起被加密

3️⃣ 权限一锅端

一个账号能动所有数据

六、我最后给他的建议

事情已经发生了，技术上能做的很有限。

但我还是跟他说了三件事：

1️⃣ 先止损

断网、隔离、别再扩散

2️⃣ 再评估

能恢复多少算多少

3️⃣ 最后决策

交不交赎金，是业务问题，不是技术问题。

然后我补了一句：

“这次花的钱，不叫损失，叫学费。”

他苦笑了一下，说：

“这学费，有点贵。”

七、但真正的学费，其实是下一次

我跟他说：

“真正贵的不是这一次，而是你们如果不改，下次还会再来一次。”

因为勒索软件这件事，有一个很残酷的逻辑：

你不是被选中的，是你刚好“好下手”。

八、最后一句话，送给所有老板

我这些年见过太多案例，最后都归结成一句话：

    有备份，勒索只是事故；
    没备份，勒索就是灾难。

别等数据被加密了，才想起它有多重要。

那时候，你不是在恢复数据。

你是在用钱，买后悔！！！

​

阅读原文：https://mp.weixin.qq.com/s/QvorM9y7bLE5PKq1HKI9Lw