勒索病毒个话题，貌似近一两年是一如既往的火热，还记得一年多前刚刚爆发的时候的那些停止服务的图片吧，相信绝大多数没中招的同学都是以一份看热闹的心态去看这些图片。我也不能免俗，借了一些来晒在当时的推送中。热点蹭一下，算是也涨了点粉丝量。

原本以为，这一话题早应该结束了，随着安全补丁的修复和安全防护的加强，勒索病毒不会太长命。而事实上并非如此，勒索病毒也不断演进，看上去这一来一回的攻防战，打的越来越有意思。

勒索病毒基础小课堂

我相信，大家都已经非常清楚所谓的勒索病毒是一类什么样的病毒，它的攻击流程无非就是：

1. 加密一切被感染的文件；
2. 通过各种方式联系文件的主人，要求支付赎金；

通常和碰到勒索病毒的同学的对话，就往往变成了如下：

倒霉的管理员：我丢，中招了，我的所有的资料全部被锁了，它们要我付 10 个比特币，怎么办？

石头哥：备份了没？

倒霉的管理员：没！

石头哥：嗯，去付钱吧，祝你好运！

没有备份的情况下，在这之后，会发生什么事情，我觉得真不好说，这两年的各种调查报告也很多，事实上真正能付了钱拿回数据的人，占总人数的 1/4 不到。

勒索病毒的进化

最近，看到一些评论，都在讨论现在的勒索病毒是越来越智能，以至于它们能够深入到用户的环境中自我复制、自我传播，同时它们还会去禁用一些主流的杀毒软件、备份软件、防火墙以及数据库，来确保达成勒索的目的。其中有些凶残的病毒甚至还带破坏和删除功能，对于主流已知的备份软件 Catalog 库进行深度分析，破坏发起后，为了达到勒索的目的，除了破坏生产数据，还同时去破坏备份数据。

这时候，碰到勒索病毒的同学的对话会这样：

倒霉的管理员：我丢，中招了，我的所有的资料全部被锁了，它们要我付 20 个比特币，怎么办？

石头哥：备份了没？

倒霉的管理员：备了，但是它们太聪明了，把我的备份服务器感染了，禁止了我感染那天以后的所有备份作业，同时删除了我的备份 catalog 文件。

石头哥：还有数据可以恢复吗？

倒霉的管理员：数据放在 EMC DataDomain 中，通过最新的文件锁协议（File Locking protocols），倒是挺安全，但是 catalog 没了，再安全的备份存档数据块都无法恢复了。

石头哥：好吧，去付钱解锁吧！

虽然用备份软件做了备份，但是水平还是没高过勒索软件，没有充分考虑到备份软件也会被勒索软件破坏，备份形同虚设。

下图是某勒索病毒的样本分析中找到的，它能禁用的一系列常见服务。它能做到破坏数据之前，先处理那些干扰他搞破坏的元素。可以看到市场上常见的杀毒软件和备份软件的服务都在这个清单上。

备份/灾备的应对策略建议

有了备份，也不安心，所以，在设计备份/灾备架构的时候，需要考虑很多因素：

1. 备份存档的独立性和可移动性。

越来越多的客户开始意识到这一点的重要性，如果现在的备份存档，还无法做到自我恢复，完全依赖于备份软件所建立的 Catalog，那么破坏了 Catalog 就相当于破坏了一切。

相反，对于一个没有 Catalog 的使用 Veeam 备份的环境，这事情就简单太多了，每份存档就相当于一个个体，勒索病毒需要个个击破才能达到它勒索的目的，我相信，聪明的你肯定能把你最重要的数据存放中最安全的地方，而避免受到勒索病毒的感染。

那么这时候，假设很不幸，你的备份服务器被感染了，狠一点的勒索病毒直接破坏磁盘 MBR 记录，在启动的时候就拒绝你进入系统。这时候你需要做的事情很简单：

• 清理恢复完你的环境，确保已经杀干净勒索病毒。
• 安装一套全新的 VBR。
• 只需要从你最安全的磁带中，拿出之前备份下来的 VBK 文件。
• 导入到新的 VBR 中，veeam 不需要任何集中管理的 catalog 数据库或者重删库，就能识别每个备份存档内容。
• 使用各种恢复方式，和正常的 Veeam 恢复方式完全一致，包括 Instant VM Recovery 和 Instant File Recovery。

1. 多份备份数据的安全隔离性。

存放数据的时候，千万记得别用同步功能，企业数据和个人数据一样。拿个人数据举例，如果你有个百度盘，或者 Onedrive，这时候你要把你的数据备份到云上。偷懒的做法是后台开启自动同步，一旦数据写入你的磁盘，这些网盘工具会做一个自动同步，近乎实时的把数据同步到云端。而试想一下，这个数据写入磁盘的动作假如是由勒索病毒发起的，那么你的云端的所有数据也将会被你的这个自动同步操作的给感染。这样你设置的所有备份防御措施都将失效。

同理，在企业数据中心，偷懒的存储级同步方法，甚至是某些厂商宣称的字节级同步方法，在勒索病毒看来，这是多好的手段，让攻击范围自动蔓延，自动传播啊。

所以，我强烈建议，把自动挡改成半自动挡，拥有自动挡的技术没有问题，但是在必要的情况下，调整成定期数据的复制，会大大降低数据感染的风险。

数据多存放几份，多存几种介质都是很好的方法，来避免被全方位攻陷。对于勒索病毒来说，本身它是一种自动执行的计算机软件，全自动化的进行攻击，很少会有人工手工干预的攻击，因此改变正常的数据存放规则和套路是一个好方法。当然这个前提是，备份软件足够灵活，能够支持各种各样的存储设备。

1. 备份存档的定期验证和自动化恢复演练。

这又是一个很有意思的话题，可恢复性验证，这备份和灾备环境中，要去做这个验证通常都只能手工去做，这会消耗大量时间和资源。在没有勒索病毒出现的时候，这个验证仅仅是为了对付下领导，对付下监管，这也许交一份书面报告也就过去了。然后勒索病毒横行的今天，我们真的得好好想一想，要是哪天勒索病毒把我的环境破坏了，那我的哪些备份存档是没有勒索病毒感染的，能够正常恢复的干净系统？

全自动的备份存档验证在这样的场景下，能够帮助备份管理员省下不少时间和资源。而加入了更多自动化校验逻辑的 Veeam Availability Orchestrator 2.0 则是这方面的小能手。

来吧，和勒索病毒斗智斗勇吧。

没有任何一个软件可以做到没有漏洞，没有任何一个软件可以做到完全免疫任何攻击。我认为只有更好更合理的去存放数据，并且持续的去检查数据，才能够在这场勒索病毒持久战中坚持到最后。