如何保护备份数据免受勒索软件的攻击

勒索软件正变得越来越聪明，能够攻击备份以阻止数据的恢复。通过采取一些简单的步骤可以防止这种情况的发生。

[[351799]]

尽管最近的攻击有所下降，但勒索软件仍然对企业构成了重大威胁，本月针对医疗机构的攻击就证明了这一点。而且它的能力也越来越强了。特别是勒索软件编写者意识到备份也是一种有效的防御措施，他们正在修改他们的恶意软件来追踪并消除备份。

针对备份的勒索软件

勒索软件现在会删除它在执行过程中所碰巧遇到的任何备份，Malwarebytes的恶意软件情报主管Adam Kujawa说。例如，勒索软件常用的一种策略是删除Windows创建的文件的自动副本。“所以，如果你要进行系统恢复，就没有办法了，”他说。“我们还看到他们开始攻击共享的网络驱动器了。”

有备份的勒索软件有两个很有名的例子，SamSam和Ryuk。去年11月，美国司法部指控两名伊朗人使用了SamSam恶意软件，向包括医院在内的200多名受害者敲诈了3000多万美元。起诉书称，攻击者通过在正常工作时间之外发动攻击，以及“加密受害者电脑的备份”，最大限度地扩大了损害。

Ryuk袭击了几个高调的目标，包括洛杉矶时报和云托管提供商Data Resolution。根据Check Point安全研究人员的说法，Ryuk包含了一个可以删除影子卷和备份文件的脚本。“虽然这种特定的恶意软件并不专门针对备份，但它确实将更简单的备份解决方案(导致数据驻留在文件共享中的解决方案)置于风险之中，”总部位于波士顿的技术公司Continuum的产品管理高级总监Brian Downey表示，该公司可以提供文件备份和恢复服务。

最常见的做法是通过微软Windows的Previous Versions功能，Juniper Networks的威胁研究主管Mounir Hahad表示。它允许用户恢复文件的早期版本。“但大多数勒索软件变种会删除影子拷贝，”他补充说，大多数勒索软件也会攻击映射网络驱动程序中的备份。

勒索软件对备份的攻击是偶然的，而不是有针对性的

当勒索软件寻找备份时，通常是偶然的，而不是故意的，Booz Allen Hamilton的首席技术专家David Lavinder说。根据勒索软件的不同，它通常会通过爬取系统来寻找特定的文件类型。“如果它遇到了备份文件的扩展名，它肯定会加密它，”他说。

勒索软件还会试图进行传播，以感染尽可能多的其他系统，他说。这种蠕虫的能力，就像WannaCry一样，是他希望在未来看到更多活动的地方。“我们不希望看到任何有意针对备份的目标，但我们确实希望能够看到更多的精力集中在横向移动上，”他说。

你可以通过一些基本的预防措施来保护你的备份和系统免受这些新的勒索软件的攻击。

用额外的副本和第三方工具补充Windows备份

为了防止勒索软件删除或加密本地备份文件，Kujawa建议使用额外的备份或第三方工具或其他不属于Windows默认配置的工具。“如果这样做，恶意软件就不知道在哪里删除备份了，”他说。“如果你的员工感染了什么，他们就可以删除它，(并从备份中恢复)。”

隔离备份

被感染的系统与其备份之间的屏障越多，勒索软件就越难进入。位于印第安纳波利斯的网络安全服务公司Pondurance的首席执行长Landon Lewis说，一个常见的错误是，用户对备份使用的认证方法和他们在其他地方所使用的一样。“如果你的用户账户被入侵，攻击者想做的第一件事就是升级他们的特权，”他说。“如果备份系统使用了相同的身份验证，它们就可以接管一切。”

使用不同密码的单独身份验证系统会使这一步更加困难。

在多个位置保存多个备份副本

Lewis建议公司保存重要文件的三份不同的副本，使用至少两种不同的备份方法，并且至少其中的一份需要被放在不同的位置。基于云的备份提供了一个易于使用的离线备份选项，他说。“互联网上的块存储非常便宜。很难解释为什么有人不使用它作为额外的备份方法。如果你使用了不同的认证系统，那就更好了。”

许多备份供应商还提供了回滚或同一文件的多个版本的选项。如果一个勒索软件攻击并加密了文件，那么备份工具会自动备份加密的版本并覆盖完好的版本，这样勒索软件甚至都不需要费心去获取备份了。因此，回滚正在成为一种标准功能，公司应该在确定备份策略之前就进行检查。“我肯定会把这一点加入我的标准当中。”Lewis说。

反复测试你的备份

许多公司只会发现他们的备份无法使用，或者在他们成为攻击的受害者后才发现因为太麻烦而无法返回。“如果你没有做过某种类型的修复练习，而且没有文件记录，也没有人熟悉它，我们将看到许多客户会考虑付钱，并且在某些情况下真的这么做了，因为付钱给攻击者实际上在操作上更为便宜。”Lewis说。

作为其产品的一部分，提供备份解决方案的科技公司Kaseya的首席信息官BBob Antia也建议检查备份供应商是否能检测到勒索软件的攻击，尤其是较新的、更隐秘的变种。一些勒索软件会故意放慢速度，或者在加密前处于休眠状态，他说。“这两种技术意味着会很难知道需要从备份中恢复到什么时间点，”他说。“我预计勒索软件会继续找到更好的方法来隐藏自己，使复原更加困难。” 

“我们最近还没有看到像WannaCry和Petya这样的全球大规模攻击，”Antia说。但当它真的发生时，就会造成极大的破坏，他说。“我们已经看到个别组织因最近的攻击而遭受了数百万美元的损失。”