借助多层备份策略防范勒索软件

勒索软件是增长最快的一类网络犯罪,具有巨大的财务影响。据 FBI 预计,2016 年报告的勒索付款达 10 亿美元,还有许多付款从未报告。勒索软件攻击将恶意软件引入计算机系统,对存储的文件进行系统性加密,犯罪分子会据此勒索受害者付款以换取解密密钥。建议不要支付赎金:这会助长攻击,许多企业或机构在支付赎金后并不能够完全恢复其数据。更好的解决方案是创建一个有弹性的数据保护系统。

知名大学遭受勒索软件攻击

由最近遭受网络犯罪攻击的一所知名美国大学提供的示例。攻击经过精心策划。在全面攻击开始前一周,利用欺诈电子邮件和其他伎俩植入木马恶意软件。恶意软件攻击了 NTFS(默认 Windows 格式)中的文件,并在物理和虚拟服务器、笔记本电脑以及 U 盘之类的设备之间进行传播。攻击在周六晚上开始,最初是备份服务器,然后扩展至其他设备。一旦攻击到磁盘,恶意软件会对文件“下手”,对其进行加密使之不再可读。

快速发现解决方法以最大限度降低损失

攻击可能较早即被发现,但新的备份管理员并不充分知晓如何检测恶意软件并第一时间关闭系统。在管理员注意到不可读文件并且找到 IT 主管由其关闭所有系统之前,恶意软件已经对文件进行加密达八个小时。当时,120 个服务器中的 20000 个文件已被锁定,包括该大学的所有虚拟机 (VM)。赎金金额巨大 — 达六位数。不过,该大学决定不支付赎金,因为 IT 团队拥有数据保护方法,使其能够安全地恢复数据。

磁带备份层 — 数据恢复的关键组成部分

该大学的备份始于磁盘目标 — 但由于备份被存储在 NTFS,它们已被破坏。幸运的是,IT 团队还将备份写入了 LTO 磁带库

尽管磁盘中的备份副本被加密,磁带层未受影响,因为在攻击开始之前文件已被写入磁带。即使受影响的副本到达磁带,恶意软件也无法传播。IT 团队决定全面清理系统并从磁带备份重建一切。整个流程耗时约两周。

归档策略能够发挥作用

并非在受影响的磁盘直接重新构建系统,该大学利用了其归档 — 昆腾 StorNext 系统 — 使用昆腾 Lattus 解决方案,在基于对象存储的私有云创建一些数据的副本。团队发现恶意软件未传播至 StorNext Lattus 归档。

Lattus 采用对象存储技术提供高度可扩展的归档,此外,通过将其传播至多个位置的众多不同磁盘,可有效保护数据。在将其安装到现已清理过的原服务器基础设施之前,团队使用 Lattus 作为安全存放区域以恢复系统。

利用恢复方案最大限度减少损失

磁带和 Lattus 工作区中的副本为 IT 团队提供了恢复所有已备份数据并重构系统所需的一切。唯一未重新创建的数据是存储在备份系统之外(一些笔记本电脑和 USB 驱动器)的文件,大约 600GB。

底线是什么?勒索软件式的网络攻击可能很常见并且难以完全阻止,但最佳实践备份策略(在包括磁带在内的不同类型的介质中保存数据的多个副本)能够消除或最大限度减少数据损失。