面对勒索软件 如何保护数据备份安全？

尽管近期攻击事件有所减少，但勒索软件仍然对企业构成了重大威胁，尤其是勒索软件编写者意识到备份是一种有效的防御措施，并且正在修改其恶意软件以追踪并消除备份。

勒索软件攻击下降，但并没有消失

McAfee报告称，去年恶意软件和样本的数量都有所下降。根据最新的报告，2018年第三季度，勒索软件样品数量还不到2017年底峰值的一半，当时的峰值约为230万件。卡巴斯基实验室数据显示，在过去一年里，76.5万名卡巴斯基用户受到了加密文件的恶意软件攻击，相比之下，有500多万人受到了密码破解者的攻击。

Bitdefender的威胁研究主管Bogdan Botezatu表示，勒索软件攻击减少的主要原因是安全公司在防御方面的能力越来越强。他表示:“勒索软件总会有新版本，有些会比其他版本更复杂，更难捕获，但我们预计，勒索软件的比例不会再有大规模的增加，至少不会比去年大。”

Malwarebytes恶意软件情报主管Adam Kujawa表示:“几年来，勒索软件一直是最大的威胁，但现在已经大幅下降。”不过，他说，勒索软件正在不断发展。例如，恶意软件作者正在利用最新的漏洞，比如美国国家安全局(NSA)泄露的漏洞。他说:“我们看到这些病毒在很多恶意软件家族中都有出现。”“当你使用这种攻击时，如果你感染了一个系统，你可以通过使用这些攻击横向移动。你创造了一个更大的目标——这是我们肯定会看到的趋势。”

针对备份的勒索软件

Kujawa表示，勒索软件现在会删除它在这个过程中遇到的任何备份。例如，勒索软件的常见策略是删除Windows创建的文件的自动副本。“因此，如果你进行系统还原就会发现，你无法恢复备份，”他说。“我们也看到他们使用共享网络驱动器。”

最近的两个例子就是SamSam和Ryuk。去年11月，美国司法部起诉两名伊朗人使用SamSam恶意软件向包括医院在内的200多名受害者勒索3000多万美元。起诉书说，攻击者在正常营业时间之外发动攻击，并“对受害者电脑的备份进行加密”，从而使损失最大化。

最近，Ryuk击中了几个备受瞩目的目标，包括《洛杉矶时报》和云托管提供商Data Resolution。根据Check Point的安全研究人员的说法，Ryuk包含一个删除影子卷和备份文件的脚本。“虽然这个特定变体的恶意软件并不专门针对备份，但它提供了更简单的备份解决方案——那些导致数据驻留在文件共享的风险,”来自Continuum公司的Brian Downey说。

瞻博网络(Juniper Networks)威胁研究主管Mounir Hahad表示，最常见的做法是通过微软Windows的一个名为“早期版本”(Previous Versions)的功能来做到这一点。它允许用户恢复文件的早期版本。他说:“大多数勒索软件变体都会删除影子复制快照。”他补充说，大多数勒索软件攻击还会攻击映射网络驱动器上的备份。

勒索软件攻击备份不具备针对性

但是，这并不意味着所有备份现在都是脆弱的。博思艾伦咨询公司(Booz Allen Hamilton)的首席技术专家David Lavinder表示，当勒索软件确实在追踪备份时，通常是随机的，而不是蓄意的。根据勒索软件的不同，它通常通过爬虫系统来查找特定的文件类型。“如果遇到备份文件扩展名，它肯定会加密它，”他说。

他还表示，勒索软件还试图传播，感染尽可能多的其他系统。和WannaCry一样，这种蠕动能力是他希望在未来看到更多活动的地方。他表示:“我们不希望看到任何针对备份的蓄意攻击，但我们确实希望看到更专注于横向转移的努力。”

通过采取一些基本的预防措施，您可以保护您的备份和系统免受这些新的勒索软件策略的影响。

使用额外的副本和第三方工具补充Windows备份

为了防止勒索软件删除或加密文件的本地备份，Kujawa建议使用其他备份或第三方工具或其他不属于默认的Windows配置工具。他说:“如果它不以同样的方式做事，恶意软件将不知道在哪里删除备份。”“如果你的员工感染了某种病毒，他们可以清除它并从备份中恢复。”

隔离备份

一个受感染的系统和它的备份之间的障碍越多，勒索软件就越难接近它。位于印第安纳波利斯的网络安全服务公司Pondurance的首席执行长Landon Lewis说，一个常见的错误是，用户在备份时使用的身份验证方法与在其他地方使用的方法相同。他说:“如果你的用户帐户受到攻击，攻击者想做的第一件事就是升级他们的权限。”“如果备份系统使用相同的身份验证，它们可以接管一切。”

使用不同密码的独立身份验证系统会使这一步更加困难。

在多个位置保存多个副本

Lewis建议公司使用至少两种不同的备份方法，保存重要文件的三份不同副本，其中至少有一份需要放在不同的位置。他说，基于云的备份提供了一个易于使用的离线备份选项。“互联网上的块存储非常便宜。很难解释为什么有人不使用它作为额外的备份方法。如果你使用不同的认证系统，那就更好了。

此外，许多备份供应商还提供回滚选项，或同一文件的多个版本。如果遭到勒索软件攻击并加密文件，那么备份实用程序会自动备份加密版本，并覆盖好的版本，那么勒索软件甚至不需要特意去备份。因此，回滚正在成为一个标准特性，公司应该在确定备份策略之前进行检查。刘易斯说:“我肯定会把这一点加入我的标准。”

测试,测试,测试

许多公司只有在遭受攻击后才发现他们的备份没有被采用，或者备份太过繁琐而无法恢复。他说:“如果你没有做过某种类型的恢复练习，而且没有记录在案，也没有人熟悉它，我们仍然会看到许多客户考虑付费，在某些情况下，实际上是这样做的，因为付费给攻击者实际上在操作上更便宜。”

Kaseya是一家提供备份解决方案的技术公司，该公司首席技术官Bob Antia也建议检查备份供应商是否能够检测到勒索软件攻击，尤其是更新、更隐秘的攻击。他说，一些勒索软件现在故意运行缓慢，或者在加密前处于休眠状态。“这两种技术意味着很难知道从备份恢复到什么时间点，”他说。“我预计，勒索软件将继续寻找更棘手的方式来隐藏自己，使追回变得更加困难。”

Antia说:“我们最近还没有看到像WannaCry和Petya这样的大规模全球重大攻击。”但他说，当这种情况真的发生时，可能会造成极大的伤害。“我们看到个别组织因最近的袭击遭受了数百万美元的损失。”