數騰軟件

近期活躍的勒索病毒

2018年上半年最為活躍的勒索病毒有Globelmposter、Crysis、GandCrab和Satan，傳播量達到上半年勒索病毒傳播總量90%以上。

Globelmposter家族在2017年5月份被首次發現，后陸續發現.freeman、.panda、.reserve、.true+、.walker、.gotham、.techno、.chak等多個變種。近期有感染暴發趨勢，醫療機構感染頻率較高。最新變種GlobeImposter2.0取用2048位非對稱加密算法進行加密，增加解密難度，目前暫無有效的恢復工具。該類病毒既有典型的勒索型病毒特征，如使用漏洞進行傳播，統一篡改加密文件后綴，感染后生成文件提示繳納虛擬幣作為贖金。同時其傳播的手段更豐富，如精心制作大量社會工程郵件，誘騙受害者點擊下載惡意代碼，病毒具有RDP弱口令猜測能力，通過共享漏洞、口令猜測、移動介質等手段在內網傳播，而且內網主機感染后，黑客甚至利用該病毒進行內網滲透，遠程控制進行進一步的攻擊。

Crysis通過釣魚郵件和遠程RDP爆力破解的方式，植入到用戶的服務器進行攻擊。2018年3月， Crysis/Dharma 勒索軟件出現一個新的變種, 文件被追加.java 擴展名。2018年5月16日， Crysis/Dharma 勒索軟件出現另一個新的變種, 文件被追加.bip擴展名，它支持343種文件格式的加密，比最初增長了1.85倍。

GandCrab目前正通過一種名為Seamless的惡意廣告軟件進行傳播。然后利用Rig工具包通過用戶系統中的軟件漏洞安裝GandCrab。第二、第三版通過郵件傳播。

Satan勒索病毒首次出現2017年1月份，利用RaaS進行傳播。NSA武器庫泄露之后，撒旦病毒迅速搭載“永恒之藍”漏洞，還利用了JBoss、Weblogic等服務的漏洞，主動攻擊局域網內其他存在漏洞的系統。

這四種勒索病毒攻擊的都是Windows系統，從其攻擊手段、傳播手段、攻擊目標分析如下：

完美應對勒索病毒的災備系統需具備哪些特征？

目前絕大多數的勒索病毒感染和攻擊的都是Windows系統和部分MacOS系統，因此災備系統平臺應該選擇Linux系統，可以極大的減少被勒索病毒攻擊和感染的機會，防止備份數據也被勒索病毒破壞掉。但Linux系統也不是完全安全，也有部分勒索病毒的變種，例如赫赫有名的WannaCry變種，可以感染部分使用Windows Samba共享協議的Linux系統，例如，感染提供Samba服務的SAN存儲、智能硬件等。因此，基于Linux平臺搭建的災備系統，不能基于Samba網絡共享文件系統來做文件備份，建議完全關閉Samba服務，可抵御現有已知的具備感染Linux服務器的勒索病毒。

一般來說，備份可以基于本機備份，也可以異機或者異地備份。本機備份又有多種方式，例如本地冗余副本備份，或者基于存儲卷快照的方式提供多個歷史副本，如，Windows的陰影卷。如果被病毒感染并加密了文件，可以從冗余的副本或者歷史快照來恢復文件?？雌饋砗芡昝?，但是勒索病毒已經想到了這一點。勒索病毒會遍歷所有磁盤并加密文件，同時刪除Windows的陰影卷，把用戶的備份歷史快照全部刪除。因此，要防止病毒感染和病毒刪除備份文件，顯然需要做異機或者異地的備份。

那么，異機備份就一定能抵御勒索病毒嗎？ 非也！這還要看備份的具體實現方式。有些異機備份產品的備份手段，實際上是采用將存儲共享掛載到待備份機器上，然后采用備份代理或者腳本做本地目錄到共享目錄的數據備份的方式來實現的；還有些“LAN-FREE”的備份產品，在實際實現手段上，是將存儲LUN掛載到待備份機器上，同樣采用本地磁盤到共享磁盤進行文件或者數據拷貝的方式來做。在待備份的機器端看來，這些備份手段實際上是在本地配置了一個備份磁盤或者網絡共享目錄，然后將本地磁盤數據拷貝進去。那么對于勒索病毒來說，這些磁盤和共享目錄，和本地磁盤一樣是可以攻擊和加密的。這種“異機/異地”備份手段在勒索病毒面前，完全失效。

勒索病毒通過加密用戶關心的有價值的文件來進行敲詐勒索，而備份系統不同于病毒查殺防護系統，無法阻擋病毒感染文件，會如實地備份用戶文件的變化數據，也就會同步把感染后的文件如實地備份下來。因此，要恢復被加密的文件，容災備份系統需要具備多歷史副本備份的能力，從而支持從備份歷史副本中選擇最新的未被病毒感染的文件進行恢復。因此，副本版本的時間顆粒度是一個關鍵的指標。根據用戶的業務特點和價值，盡可能選擇小顆粒度的副本時間間隔。目前，CDP類的產品，是一個比較好的選擇。

多副本備份在實現方式上又可以分為全備份、增量備份和差分備份?？紤]到數據的安全性、副本的時間顆粒度、備份存儲空間等因素，一個好的災備系統，應該具備全備份、增量備份或差分備份的能力，同時具備全備份恢復、增量恢復、差分恢復能力。從而在災備能力和建設成本上有一個較佳的平衡點。

有的災備系統還具備更進階的手段來提高災備的效率、災備存儲的利用率，如提供精簡復制能力，跳過磁盤上無效的和空閑的數據，只備份有效數據。

業務應急的最大價值在于用戶的生產系統被病毒感染加密后，生產業務系統宕機、下線時，可以通過災備系統基于未受感染的備份副本，即時拉起應急業務系統，頂替受感染的生產系統對外提供服務，從而保證用戶業務連續性，也為生產業務系統重建、恢復提供充足時間。

業務級應急能力也對備份能力有一定的要求，必須具備業務級備份能力。如傳統的文件備份、文件恢復，就很難構建一個全業務級備份和應急系統。整機業務級多副本備份，是業務級應急能力保障的充分必要條件。

有的容災系統采用熱備份或者HA的方式來做備份和應急，具體的實現方式是在容災平臺上構建一個和源生產機器完全一樣的容災虛擬機，操作系統、中間件、應用和數據庫都搭建成一樣的，然后通過數據庫復制、文件復制的方式做源生產機器和容災虛擬機之間的數據實時復制。這種方式下，容災虛機雖然在業務服務上是standby的狀態，但是操作系統是在運行的，且和源生產機器操作系統及配置完全一樣(也就有一樣的漏洞和弱口令配置等)；另外一方面，為了提供業務應急能力，他們的業務網絡也是打通的。這樣的環境下，勒索病毒摧毀了生產系統，同時攻擊、感染在同一個業務局域網內的容災虛機，簡直是不費吹灰之力。

業務應急虛機一定不能在病毒環境下和生產機同時運行。正確的方式應該是，在發現生產機中毒后，關閉生產機，切斷病毒感染源，再啟動業務應急虛機。這就涉及到一項叫做溫熱備份的技術。所謂溫熱備份，是指備份數據在業務未應急狀態下，應該是以數據歸檔的形態存在，而業務需要應急時，可以基于備份數據按需即時創建，無需預配置。在溫熱備份環境下，因為業務應急系統是以數據文件形式存在，勒索病毒也就無法在熱系統內運行并感染、破壞文件了。

溫熱備份還有一個極大的好處，在于未發生業務應急時，災備系統無需消耗計算資源，只需提供備份所需的存儲空間即可。發生業務應急時，按需即時創建、彈性分配計算資源，從而，提供1:N的容災應急能力，提高了計算資源的利用率，極大地降低了災備應急系統的建設成本。

對于重要的、核心的業務系統，如何第一時間應對病毒并保證業務持續健康運行呢？ 除了防病毒軟件進行病毒防護和查殺、災備系統提供備份和業務應急，還有一個重要的特性，那就是業務級的預警。當業務被病毒破壞而停止服務時，需要有第一時間告警，以便運維管理員最快時間處理、斷開或者切斷病毒感染源，防止病毒擴散。

一般來說，大型的IT系統都會配備運維系統，具備多種維度的監控和告警能力。如果沒有獨立完善的運維系統，那么對于災備系統來說，具備業務級的告警能力就顯得非常重要了。災備系統可以監測生產業務的運行狀態，發現業務宕機、下線時第一時間通過短信、即時通訊、郵件等多種方式發出告警，運維管理員就可以在災備平臺上快速定位出現問題的系業務統并拉起應急業務系統。

用戶的基礎IT架構多種多樣，可能涉及到物理機、虛擬化、私有云、混合云等；可能存在復雜的業務集群、數據庫集群；可能存在各種各樣的數據庫、中間件和應用系統。如果不同的基礎架構、不同的業務系統、不同的應用和數據庫都有自己獨立的一套災備方案和產品，將會使得災備系統變得龐大、復雜而無法管理。災備系統應該能對多種架構平臺、復雜多樣的業務和系統提供統一的災備、應急方案，并提供統一的管理平臺。

通過剖析勒索病毒的攻擊手段、傳播手段我們可以發現，基本都是通過RDP爆破、RDP和Samba漏洞、WEB應用漏洞等進行系統侵入。因此，生產系統的日常加固和升級就顯得尤其重要。但是在生產系統直接打補丁修補漏洞、升級應用、數據庫等，就會涉及到生產安全的問題，例如補丁升級后藍屏等問題也層出不窮。災備系統應能基于實時備份的副本，構建出一個和生產環境隔離的但是和生產系統完全一致的業務系統，在其中進行補丁升級、應用和數據庫升級，驗證無誤，確保安全后，再到生產系統中進行同樣的操作，從而在保證生產安全的前提下，實現了生產系統的加固和升級。

勒索病毒處置預案