勒索病毒又来了？！应对勒索病毒的灾备建设势在必行 – 作者:shuteng

日前，某电子巨头位于墨西哥华雷斯城的CTBG MX生产设施遭到DoppelPaymer勒索软件攻击，攻击者在对设备加密之前先窃取了未经加密的文件，并在服务器上创建了勒索信，索要1804.0955个比特币的赎金，约合2.3亿RMB。

图源网络

近年来，全球受到勒索病毒攻击的事件屡见不鲜，波及政府、医疗、教育、互联网、金融、能源等诸多行业，多通过利用各类技术对用户的设备、数据进行锁定来敲诈勒索，实现暴力“盈利”。

勒索病毒就像是游走的有害细胞，形式多变且难以捉摸，而它的蔓延，往往会给企业及组织带来严重的安全威胁。大量实践经验告诉我们，面对勒索病毒，亡羊补牢不如未雨绸缪，需要在事前防御、事中判断化解、事后补救三个环节都采取措施才能解决因勒索病毒带来的不可挽回的重大损失。而数据保护则是安全防御的最后一道防线，必须要通过建立完善的灾备体系将安全牢牢掌握在自己手里，才能保障用户自身的数据安全和业务连续性。

数腾基于云原生灾备技术的防勒索病毒灾备解决方案，防、治结合，能够解决传统容灾、高可用无法解决的逻辑性错误问题，用更低的成本为用户提供对抗勒索病毒的利器，有效保护业务稳定运行及数据安全高可用。

防勒索病毒灾备解决方案

在上述该事件中，攻击者声称已加密约1200台服务器，并删除20TB至30TB的备份内容。我们知道，勒索病毒多通过加密用户关心的有价值的文件来进行敲诈勒索，而备份系统不同于病毒查杀防护系统，无法阻挡病毒感染文件，会如实的备份文件的变化数据，即同步的把感染后的文件如实的备份下来。由此可见，要恢复被加密的文件，灾备系统不仅需要具备多历史副本备份的能力，还需要异地灾备。

数腾云灾备可以连续自动生成任意时间的快照，形成一个细颗粒度的业务系统虚拟机镜像时空隧道，任意时刻的快照点都可以快速拉起，进行容灾演练、仿真测试、应急接管。同时，数腾云灾备支持精简卷复制、全备份、增量备份、差分备份、全备份恢复、差分恢复、增量恢复等特性，可以大幅度降低多副本备份带来的容灾系统存储建设成本。

建立异地容灾能够提高灾难恢复的效率，并减少数据损失。通过在异地建立一套数腾远程灾备系统，当本地发生灾难时，异地保存的数据不仅可以用于灾后恢复，还可以在灾难时发挥应急作用。

当用户遭到勒索病毒攻击时，可能会出现文件被窃取，数据被删除，网站无法正常访问，生产系统宕机下线等情况。因此，灾备系统需要具备多副本业务级应急接管能力，即使生产系统受勒索病毒破坏，也能保证用户业务持续运行。当遭到勒索病毒攻击时，数腾云灾备可以选择最新的未受病毒感染的一个快照点生成的虚拟机，完全接管原主机操作系统、数据库、应用等所有服务，前端用户无感知，瞬时便可恢复业务和数据，即时可用，为业务系统重建、恢复提供充足的时间，相对于传统备份技术来说，丢失的数据少（秒级），恢复速度快（分钟级）。

此外，在未发生灾难时，数腾灾备系统仅占有限的存储资源，计算资源0消耗。当遭遇勒索病毒需要应急接管时，可一键式构建所需容灾资源，弹性分配计算/存储/网络资源，实现一对多应急接管能力，以极少的成本实现多业务系统的对称灾备效果。

众所周知，勒索病毒主要通过系统漏洞入侵和端口爆破，如果用户的业务系统存在安全漏洞，又迟迟未能修补，便会给黑客们留下可乘之机，由此可见，业务系统的日常加固和升级非常重要。但令人尴尬的是，如果在业务系统直接打补丁修补漏洞、升级应用、数据库等，可能会有安全隐患产生，如关键系统离线引发混乱。

因此，灾备系统需要能够构建出和生产系统完全一致的仿真环境，支持在不影响生产环境的情况下，进行应用升级、补丁升级等工作。通过数腾云灾备可一键构建与业务环境隔离的仿真测试环境，可以在其中进行补丁升级、应用和数据库升级，确保当前应用安全可用的情况下，再到业务系统中进行同样的操作，实现业务系统的加固和升级。

对抗勒索病毒的路，道阻且长，采取主动防御的办法，无疑是保护企业及组织信息安全的重中之重，未雨绸缪早当先，居安思危谋长远。

来源：freebuf.com 2020-12-10 13:53:19 by: shuteng