面對勒索軟件 如何保護數據備份安全？

盡管近期攻擊事件有所減少，但勒索軟件仍然對企業構成了重大威脅，尤其是勒索軟件編寫者意識到備份是一種有效的防御措施，并且正在修改其惡意軟件以追蹤并消除備份。

勒索軟件攻擊下降，但并沒有消失

McAfee報告稱，去年惡意軟件和樣本的數量都有所下降。根據最新的報告，2018年第三季度，勒索軟件樣品數量還不到2017年底峰值的一半，當時的峰值約為230萬件。卡巴斯基實驗室數據顯示，在過去一年里，76.5萬名卡巴斯基用戶受到了加密文件的惡意軟件攻擊，相比之下，有500多萬人受到了密碼破解者的攻擊。

Bitdefender的威脅研究主管Bogdan Botezatu表示，勒索軟件攻擊減少的主要原因是安全公司在防御方面的能力越來越強。他表示:“勒索軟件總會有新版本，有些會比其他版本更復雜，更難捕獲，但我們預計，勒索軟件的比例不會再有大規模的增加，至少不會比去年大。”

Malwarebytes惡意軟件情報主管Adam Kujawa表示:“幾年來，勒索軟件一直是最大的威脅，但現在已經大幅下降。”不過，他說，勒索軟件正在不斷發展。例如，惡意軟件作者正在利用最新的漏洞，比如美國國家安全局(NSA)泄露的漏洞。他說:“我們看到這些病毒在很多惡意軟件家族中都有出現。”“當你使用這種攻擊時，如果你感染了一個系統，你可以通過使用這些攻擊橫向移動。你創造了一個更大的目標——這是我們肯定會看到的趨勢。”

針對備份的勒索軟件

Kujawa表示，勒索軟件現在會刪除它在這個過程中遇到的任何備份。例如，勒索軟件的常見策略是刪除Windows創建的文件的自動副本。“因此，如果你進行系統還原就會發現，你無法恢復備份，”他說。“我們也看到他們使用共享網絡驅動器。”

最近的兩個例子就是SamSam和Ryuk。去年11月，美國司法部起訴兩名伊朗人使用SamSam惡意軟件向包括醫院在內的200多名受害者勒索3000多萬美元。起訴書說，攻擊者在正常營業時間之外發動攻擊，并“對受害者電腦的備份進行加密”，從而使損失最大化。

最近，Ryuk擊中了幾個備受矚目的目標，包括《洛杉磯時報》和云托管提供商Data Resolution。根據Check Point的安全研究人員的說法，Ryuk包含一個刪除影子卷和備份文件的腳本。“雖然這個特定變體的惡意軟件并不專門針對備份，但它提供了更簡單的備份解決方案——那些導致數據駐留在文件共享的風險,”來自Continuum公司的Brian Downey說。

瞻博網絡(Juniper Networks)威脅研究主管Mounir Hahad表示，最常見的做法是通過微軟Windows的一個名為“早期版本”(Previous Versions)的功能來做到這一點。它允許用戶恢復文件的早期版本。他說:“大多數勒索軟件變體都會刪除影子復制快照。”他補充說，大多數勒索軟件攻擊還會攻擊映射網絡驅動器上的備份。

勒索軟件攻擊備份不具備針對性

但是，這并不意味著所有備份現在都是脆弱的。博思艾倫咨詢公司(Booz Allen Hamilton)的首席技術專家David Lavinder表示，當勒索軟件確實在追蹤備份時，通常是隨機的，而不是蓄意的。根據勒索軟件的不同，它通常通過爬蟲系統來查找特定的文件類型。“如果遇到備份文件擴展名，它肯定會加密它，”他說。

他還表示，勒索軟件還試圖傳播，感染盡可能多的其他系統。和WannaCry一樣，這種蠕動能力是他希望在未來看到更多活動的地方。他表示:“我們不希望看到任何針對備份的蓄意攻擊，但我們確實希望看到更專注于橫向轉移的努力。”

通過采取一些基本的預防措施，您可以保護您的備份和系統免受這些新的勒索軟件策略的影響。

使用額外的副本和第三方工具補充Windows備份

為了防止勒索軟件刪除或加密文件的本地備份，Kujawa建議使用其他備份或第三方工具或其他不屬于默認的Windows配置工具。他說:“如果它不以同樣的方式做事，惡意軟件將不知道在哪里刪除備份。”“如果你的員工感染了某種病毒，他們可以清除它并從備份中恢復。”

隔離備份

一個受感染的系統和它的備份之間的障礙越多，勒索軟件就越難接近它。位于印第安納波利斯的網絡安全服務公司Pondurance的首席執行長Landon Lewis說，一個常見的錯誤是，用戶在備份時使用的身份驗證方法與在其他地方使用的方法相同。他說:“如果你的用戶帳戶受到攻擊，攻擊者想做的第一件事就是升級他們的權限。”“如果備份系統使用相同的身份驗證，它們可以接管一切。”

使用不同密碼的獨立身份驗證系統會使這一步更加困難。

在多個位置保存多個副本

Lewis建議公司使用至少兩種不同的備份方法，保存重要文件的三份不同副本，其中至少有一份需要放在不同的位置。他說，基于云的備份提供了一個易于使用的離線備份選項。“互聯網上的塊存儲非常便宜。很難解釋為什么有人不使用它作為額外的備份方法。如果你使用不同的認證系統，那就更好了。

此外，許多備份供應商還提供回滾選項，或同一文件的多個版本。如果遭到勒索軟件攻擊并加密文件，那么備份實用程序會自動備份加密版本，并覆蓋好的版本，那么勒索軟件甚至不需要特意去備份。因此，回滾正在成為一個標準特性，公司應該在確定備份策略之前進行檢查。劉易斯說:“我肯定會把這一點加入我的標準。”

測試,測試,測試

許多公司只有在遭受攻擊后才發現他們的備份沒有被采用，或者備份太過繁瑣而無法恢復。他說:“如果你沒有做過某種類型的恢復練習，而且沒有記錄在案，也沒有人熟悉它，我們仍然會看到許多客戶考慮付費，在某些情況下，實際上是這樣做的，因為付費給攻擊者實際上在操作上更便宜。”

Kaseya是一家提供備份解決方案的技術公司，該公司首席技術官Bob Antia也建議檢查備份供應商是否能夠檢測到勒索軟件攻擊，尤其是更新、更隱秘的攻擊。他說，一些勒索軟件現在故意運行緩慢，或者在加密前處于休眠狀態。“這兩種技術意味著很難知道從備份恢復到什么時間點，”他說。“我預計，勒索軟件將繼續尋找更棘手的方式來隱藏自己，使追回變得更加困難。”

Antia說:“我們最近還沒有看到像WannaCry和Petya這樣的大規模全球重大攻擊。”但他說，當這種情況真的發生時，可能會造成極大的傷害。“我們看到個別組織因最近的襲擊遭受了數百萬美元的損失。”