備份通常被認(rèn)為是對付勒索病毒的一種防御機(jī)制。但是如果沒有正確實(shí)施，備份本身可能會被感染，從而使備份失效。為了防止這種情況的發(fā)生，有一個(gè)適當(dāng)?shù)膽?yīng)對勒索軟件的備份策略是很重要的。

現(xiàn)在大多數(shù)公司都使用基于追蹤塊變化的備份。如果一個(gè)存儲塊被修改了，那么這個(gè)塊就會被備份。但是如果發(fā)生了勒索病毒感染，那么勒索病毒造成的加密過程將被視為常規(guī)文件修改，然后新修改的文件將被備份。

[[215963]]

通過遵循一些最佳實(shí)踐指導(dǎo)原則，可以幫助你將勒索病毒從備份中排除。

備份不是你的第一道防線

基本的應(yīng)對勒索病的毒備份規(guī)則是你不應(yīng)該把備份作為第一道防線。雖然你的備份確實(shí)可以幫助你逆轉(zhuǎn)由勒索病毒造成的損害，但最好還是采取措施在第一時(shí)間避免發(fā)生勒索病毒感染，而不是在感染已經(jīng)發(fā)生后還繼續(xù)進(jìn)行備份。

至少，這意味著要在整個(gè)公司運(yùn)行防病毒軟件并保持軟件更新。然而，即使是防病毒軟件，也不是完美的。這么多年來，雖然系統(tǒng)受到了反病毒軟件的保護(hù)，但是還是有很多病毒感染事件發(fā)生。在這種情況下，您可以考慮使用進(jìn)程白名單，它禁止任何未經(jīng)授權(quán)的進(jìn)程在受保護(hù)的系統(tǒng)上運(yùn)行。

檢查你的版本保留策略

對版本保留策略的檢查是應(yīng)對勒索病毒備份策略的另一個(gè)重要方面。畢竟，如果你沒有辦法將文件恢復(fù)到未加密前的狀態(tài)，那么你的備份將沒有辦法應(yīng)對勒索病毒的影響。表面上看，確保多個(gè)版本進(jìn)行保留可能聽上去很荒謬，畢竟，幾乎任何現(xiàn)代備份產(chǎn)品都可以讓你將文件恢復(fù)到一個(gè)舊的版本。即使如此，仍然值得去考慮保留的文件版本和保留這些斑斑的時(shí)間長度，因?yàn)槟憧赡懿⒉徊荒荞R上就知道感染已經(jīng)發(fā)生了。

假設(shè)，一個(gè)用戶在公司桌面工作時(shí)意外觸發(fā)了一個(gè)勒索病毒的感染。取決于勒索病毒的設(shè)計(jì)方式，可能會是首先對存放在受感染設(shè)備上的文件進(jìn)行加密，但很可能也會對映射的網(wǎng)絡(luò)驅(qū)動器中的文件進(jìn)行加密。取決于用戶訪問的數(shù)據(jù)量大小，加密過程可能需要一段時(shí)間才能完成。

這種情況有趣的地方在于，用戶可能并不能馬上知道勒索軟件的感染已經(jīng)發(fā)生了。從勒索軟件作者的角度來考慮:如果勒索軟件在加密之前或者在加密過程中告訴用戶數(shù)據(jù)被感染了，那么用戶就可以采取某種行動來限制感染的影響。另一方面，如果勒索病毒一直不告訴用戶感染的情況直到它對所有東西進(jìn)行了加密，那么病毒對用戶的損害就已經(jīng)發(fā)生了。

也有可能在IT部門發(fā)現(xiàn)感染之前還有更長的一段時(shí)間。想象一下，如果用戶試圖掩蓋他們系統(tǒng)被感染的事實(shí)，會發(fā)生什么情況。IT部門可能都沒有意識到感染已經(jīng)發(fā)生直到其他人開始報(bào)告問題。

關(guān)鍵是你可能并不是馬上就知道受到了勒索病毒的攻擊，所以備份保留策略只保存最近的幾個(gè)版本，在幾個(gè)小時(shí)或者幾天前的將數(shù)據(jù)過期。理想的狀況是，一個(gè)勒索病毒應(yīng)對的備份策略應(yīng)當(dāng)包含盡可能多的恢復(fù)點(diǎn)以便將從感染中恢復(fù)數(shù)據(jù)的機(jī)會最大化。

一定要用權(quán)宜之計(jì)

如果您正在執(zhí)行基于磁盤的備份，而勒索病毒設(shè)法加密了你的整個(gè)備份目標(biāo)，那么你將失去從勒索病毒的攻擊中進(jìn)行恢復(fù)數(shù)據(jù)的能力。應(yīng)對這種情況的一種方法是建立權(quán)宜機(jī)制。換句話說，你需要一個(gè)勒索病毒不能觸摸的備份。實(shí)現(xiàn)這一目標(biāo)的唯一可靠方法是有一個(gè)與系統(tǒng)完全斷開連接的備份。

基于磁帶的備份是一個(gè)非常好的權(quán)宜之計(jì)，因?yàn)槔账鞑《静豢赡芨腥镜侥切]有放到磁帶驅(qū)動器中的磁帶。很明顯，基于磁帶的備份并不能提供基于磁盤的備份的優(yōu)點(diǎn)，但是你也沒有理由放棄基于磁盤的備份，而支持磁帶。相反，您可以部署從磁盤到磁盤到磁帶的備份體系結(jié)構(gòu)，它將可以定期的將你一磁盤為備份設(shè)備的備份內(nèi)容復(fù)制到可以安全離線存儲的磁帶上。

當(dāng)發(fā)生勒索病毒攻擊時(shí)，勒索病毒可能會加密你備份在存儲陣列的內(nèi)容。即使它沒有加密這些數(shù)據(jù)，你也幾乎肯定會備份受到感染的文件。因此，讓勒索病毒遠(yuǎn)離你的系統(tǒng)是非常重要的，并且如果一個(gè)勒索病毒攻擊已經(jīng)發(fā)生，你要有一個(gè)合適的能應(yīng)對勒索病毒的備份計(jì)劃能幫助你恢復(fù)數(shù)據(jù)。