说下经历，数据多的个人建议看看

1、开放了RDP端口
弄到了公网IP，为方便远程回家开了3389，没及时关。但有密码保护。

2、遭遇病毒
回家发现电脑卡，很多文件被改名，杀软被卸载，查看进程有个高活动进程。顺手关掉。
PS，事后才知道是我用于数据分析的小文件帮我争取了时间，我有几万个小文件，病毒加密这些文件花了不少时间。

3、应急处理
判断中毒了，拔电源。
拔网线，本机与其他设备作物理隔离。后续操作至数据恢复全程在此环境下操作。
应急U盘进系统，寻找并删除病毒文件。

4、数据盘点
逐一盘点损失了哪些数据，我总共大概有40万个文件，损坏了10万+，逐一分析哪些是需要的，哪些不需要。需要的存在一空的硬盘里，贴上标签等日后兴许能恢复。最终看，除去有备份的，剩下损失的多是一些数据实验的过程文件，还好。
后续继续建立文件清单，用于数据恢复。
PS,后来看，病毒入侵到我发现只过了10分钟左右，但就损失了这么多文件，真是险。

5、数据恢复
全盘格式化，重装系统。视情况做一次全盘扫描，避免病毒伤害冷备文件。
从冷备盘(全村的希望 :D ）中恢复数据。
恢复完成后全盘扫描病毒。确认没病毒木马再恢复正常使用。

6、完善备份体系
学习了备份321原则：3份数据，2种介质，1份异地。结合实际，做如下管理：
工作站中设置热数据区、备份数据区，热=>备份。
NAS中设置私有云备份区，专用账户写，平时使用低权限账户读。
另有一台跑应用的服务器，做私有云的镜像。做季度备份。
再拿一块硬盘，做私有云的离线备份。一年同步一次。
天翼云，日常备份一些成果物。

7、防范措施
rdp端口仅在使用时开放，使用完关闭。路由器使用强口令保护。
设置蜜罐，设监控程序，若蜜罐损坏直接断电。
--
修改:ackerx FROM 120.36.23.*
FROM 120.36.23.*