勒索軟件恢復(fù)問題
在此次研討會(huì)上,人們預(yù)測勒索軟件將在未來十年內(nèi)對(duì)企業(yè)產(chǎn)生更大影響。從目前的數(shù)據(jù)來看,這是一個(gè)明確的結(jié)論。然而,大多數(shù)IT人員想知道的是,今年勒索軟件攻擊的范圍將會(huì)發(fā)生什么樣的變化。當(dāng)前的勒索軟件不像2015年的勒索軟件,因?yàn)槟壳暗膼阂廛浖_發(fā)人員相當(dāng)老練?,F(xiàn)在的勒索軟件并不會(huì)更快地加密盡可能多的目標(biāo)文件,而是在服務(wù)器空閑時(shí)觸發(fā)軟件進(jìn)行備份。當(dāng)惡意軟件啟動(dòng)加密過程時(shí),將會(huì)緩慢啟動(dòng)以避免被檢測。在某些情況下,它首先根據(jù)上次訪問日期對(duì)目標(biāo)文件進(jìn)行加密,然后對(duì)最早的數(shù)據(jù)進(jìn)行加密,然后一直加密到最新的文件。
其目的是加密用戶不會(huì)立即注意到的數(shù)據(jù)。而在某些情況下,惡意軟件在進(jìn)行檢測之前將會(huì)加密企業(yè)80%或更多的數(shù)據(jù)。最近在勒索軟件攻擊中看到的另一個(gè)現(xiàn)象是,緩慢的加密過程會(huì)持續(xù)盡可能長的時(shí)間。但是,一旦用戶打開了加密文件,觸發(fā)文件便會(huì)進(jìn)入快速攻擊模式,并在用戶采用措施之前對(duì)盡可能多的文件進(jìn)行加密。
行業(yè)專家表示,在制定災(zāi)難恢復(fù)計(jì)劃時(shí),需要避免為特定災(zāi)難制定計(jì)劃。從失去對(duì)數(shù)據(jù)中心的訪問中恢復(fù)是必要的,但是勒索軟件有所不同。首先,數(shù)據(jù)在技術(shù)上并不是“丟失”。其次,不同的備份集可能有不同程度的損壞。盡管大多數(shù)數(shù)據(jù)保護(hù)解決方案現(xiàn)在都利用不可變的(只讀)存儲(chǔ)來保護(hù)數(shù)據(jù),但它們卻不得不備份損壞的文件或勒索軟件的觸發(fā)文件。企業(yè)IT團(tuán)隊(duì)需要針對(duì)勒索軟件恢復(fù)的特定計(jì)劃,并在執(zhí)行過程中實(shí)施這個(gè)計(jì)劃。
對(duì)大多數(shù)災(zāi)難的默認(rèn)響應(yīng)是從備份存儲(chǔ)庫中恢復(fù)數(shù)據(jù)的最新副本。但是,最新的副本可能包含大量損壞(加密)的文件。很多時(shí)候,由于勒索軟件不是一個(gè)站點(diǎn)的災(zāi)難,企業(yè)將選擇從快照恢復(fù)或使用從備份文件的即時(shí)恢復(fù)。問題是,這些快速恢復(fù)技術(shù)仍將恢復(fù)許多加密文件,并可能重新啟動(dòng)勒索軟件進(jìn)程,使企業(yè)的情況比啟動(dòng)恢復(fù)進(jìn)程之前還要糟糕。
創(chuàng)建勒索軟件恢復(fù)計(jì)劃
無論勒索軟件攻擊的性質(zhì)如何,第一步都是查找觸發(fā)文件并將其從環(huán)境中刪除?;謴?fù)的第二步是確定惡意軟件正在使用哪種類型的攻擊媒介。如果是以往的快速加密所有內(nèi)容的方法,則應(yīng)該可以從較新的快照之一進(jìn)行恢復(fù),也可以從上次備份實(shí)現(xiàn)即時(shí)恢復(fù)。如果攻擊媒介使用的是緩慢的觸發(fā)和加密速率較低的方法,則IT團(tuán)隊(duì)需要確定觸發(fā)文件何時(shí)首次突破網(wǎng)絡(luò),以及何時(shí)開始對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)進(jìn)行加密。
IT團(tuán)隊(duì)需要查找多年沒再使用的文件,然后在攻擊期內(nèi)對(duì)其進(jìn)行更改(可能只有一次機(jī)會(huì))。在大多數(shù)情況下,在此日期之前從受保護(hù)的數(shù)據(jù)副本中恢復(fù)將使企業(yè)能夠恢復(fù)其80%數(shù)據(jù)的有效副本。問題在于,在許多情況下,此過程需要使用數(shù)周甚至數(shù)月的備份集。大多數(shù)組織的存儲(chǔ)系統(tǒng)不能在不影響性能的情況下長時(shí)間保留快照。因此,備份軟件需要成為恢復(fù)的來源。
刪除勒索軟件文件并準(zhǔn)備好基準(zhǔn)數(shù)據(jù)集之后,企業(yè)需要將剩余的20%的數(shù)據(jù)拼湊在一起。對(duì)于IT機(jī)構(gòu)來說,識(shí)別最近加密的文件相對(duì)容易,這通常是由上述初始檢測后的快速攻擊造成的。這些文件很有可能保存在當(dāng)前備份或快照中。
其中間文件很難識(shí)別,恢復(fù)起來可能很耗時(shí)。這些是用戶在攻擊期間創(chuàng)建和修改的文件。專家提出的建議是搜索在攻擊周期內(nèi)創(chuàng)建的文件,然后將該文件的第二個(gè)版本恢復(fù)到最后一個(gè)版本,即加密之前的版本。假設(shè)這是一個(gè)具有復(fù)雜搜索功能的備份解決方案,那么這個(gè)恢復(fù)步驟將恢復(fù)受勒索軟件攻擊影響的大多數(shù)數(shù)據(jù)。其剩下的文件應(yīng)該很少,除非有特別要求,否則不應(yīng)檢索。
最后一步是如何處理包含加密文件的備份。在大多數(shù)情況下,攻擊期通常約為兩到三周,但持續(xù)幾個(gè)月也不是沒有可能。在此期間,企業(yè)如何處理其制作的副本主要取決于其保留策略。一旦企業(yè)知道已恢復(fù)所有或大部分?jǐn)?shù)據(jù),IT部門應(yīng)刪除在攻擊期間拍攝的所有快照。在大多數(shù)情況下,對(duì)于大多數(shù)存儲(chǔ)系統(tǒng)來說,IT團(tuán)隊(duì)都會(huì)刪除所有快照。IT團(tuán)隊(duì)也至少應(yīng)隔離在攻擊期間制作的所有備份副本。如果IT人員可以確定已恢復(fù)了所有有效數(shù)據(jù)副本,并且沒有違反保留策略,則應(yīng)考慮完全刪除在攻擊期間制作的備份副本。
事實(shí)證明,勒索軟件對(duì)其開發(fā)商來說是一項(xiàng)有利可圖的“業(yè)務(wù)”。甚至一些勒索軟件提供有關(guān)如何購買比特幣的技術(shù)支持。這些不良行為者繼續(xù)開發(fā)更復(fù)雜的技術(shù)來獲得企業(yè)的贖金。IT團(tuán)隊(duì)需要監(jiān)視這些更改并相應(yīng)地調(diào)整其恢復(fù)計(jì)劃。當(dāng)然,只是還原最新備份的措施已不足夠。準(zhǔn)備、計(jì)劃和實(shí)踐是成功擺脫勒索軟件的關(guān)鍵要求。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。