勒索軟件恢復問題
預測勒索軟件將在未來十年內影響組織,就像預測勒索軟件將在去年8月在德克薩斯州流行一樣。根據當前數據,這是一個顯而易見的結論。然而,令大多數IT人員感到驚訝的是,今年這些攻擊的范圍將如何變化。現代勒索軟件不像2015年的勒索軟件。惡意軟件開發人員非常復雜?,F在,勒索軟件不再處于盡可能快地加密盡可能多的文件的狀態,而是處于閑置狀態,以便通過多個備份作業來備份觸發文件。當惡意軟件開始加密過程時,它開始緩慢,從而避免了檢測。在某些情況下,它首先根據最后訪問日期對文件進行加密,首先對最早的數據進行加密,然后逐步處理直到最新的文件。
目的是加密用戶不會立即注意到的數據。在某些情況下,該惡意軟件在進行任何檢測之前會加密組織中80%或更多的數據。最近在勒索軟件攻擊中看到的另一個因素是,緩慢的加密過程會持續盡可能長的時間。但是,一旦用戶打開了加密文件,觸發文件便會進入快速攻擊模式,在消除之前要對盡可能多的文件進行加密。
企業的業務從失去對數據中心的訪問中恢復是必要的。但是勒索軟件有所不同。首先,數據中心在技術上不會“丟失”。其次,不同的備份集可能具有不同的損壞級別。盡管大多數數據保護解決方案現在都利用不可變的(只讀)存儲來保護自己,但它們卻不得不備份損壞的文件或勒索軟件的觸發文件。IT團隊需要針對勒索軟件恢復的特定計劃,并需要執行該計劃的實踐。
對大多數災難的默認響應是從備份存儲庫中恢復數據的最新副本。但是,最新副本可能包含大量損壞(加密)的文件。很多時候,由于勒索軟件不是整個站點的災難,因此組織將選擇從快照中恢復或使用備份中的即時恢復。問題在于這些快速恢復技術仍將恢復許多加密文件,并且可能會重新啟動勒索軟件過程,使組織處于比開始恢復過程之前更糟糕的狀態。
創建勒索軟件恢復計劃
無論攻擊的性質如何,第一步都是查找觸發文件并將其從環境中刪除?;謴偷牡诙绞谴_定惡意軟件正在使用哪種類型的攻擊媒介。如果是較舊的、快速加密所有內容的方法,則應該可以從較新的快照之一進行恢復,也可以從上次備份進行即時恢復。如果攻擊媒介使用的是緩慢的觸發和較低的加密速率,則IT部門需要確定觸發文件何時首次突破網絡以及何時開始對網絡上的數據進行加密。
IT團隊需要查找停滯多年的文件,然后在攻擊期內對其進行更改(大概一次)。在大多數情況下,在此日期之前從受保護的數據副本中進行恢復將使組織能夠恢復其數據的80%的有效副本。問題在于,在許多情況下,此過程需要使用數周甚至數月的備份集。大多數組織的存儲系統不能在不影響性能的情況下長時間保留快照。因此,備份軟件需要成為恢復的來源。
刪除勒索軟件文件并設置基線數據集后,組織需要將剩余的20%的數據整理在一起。對于IT機構來說,識別最近加密的文件應該相對容易,這通常是由上述初始檢測后的快速攻擊造成的。這些文件很有可能位于當前備份或快照中。
中間文件很難識別,恢復起來可能很耗時。這些是用戶在攻擊時間內創建和修改的文件。專家建議是搜索在攻擊周期內創建的文件,然后將該文件的第二個版本恢復到最后一個版本,即加密之前的版本。假設這是一個具有復雜搜索功能的備份解決方案,那么這三個恢復步驟將恢復受勒索軟件攻擊影響的大多數數據。剩下的文件應該很少,除非有特別要求,否則不要檢索。
最后一步是如何處理包含加密文件的備份。在大多數情況下,發作期通常約為兩到三周,但幾個月的時間并非不可能。在這段時間內,組織如何處理其制作的副本主要取決于其保留策略。一旦組織知道已經恢復了所有或大部分數據,IT部門應刪除在攻擊期間拍攝的所有快照。在大多數情況下,對于大多數存儲系統,IT都會刪除所有快照。IT也至少應隔離在攻擊期間制作的所有備份副本。如果IT人員可以確定已恢復了所有有效數據副本,并且沒有違反保留策略,則應考慮完全刪除在攻擊期間制作的備份副本。
事實證明,勒索軟件對其開發商來說是一項有利可圖的“業務”。人們甚至已經看到一些勒索軟件附帶有關如何購買比特幣的技術支持。這些不良行為者繼續開發更復雜的方式來持有組織的數據贖金。IT團隊需要監視這些更改并相應地調整其恢復計劃。當然,僅還原最新備份的概念已不再足夠。準備、計劃和實踐是成功擺脫勒索軟件這一十年迭代的關鍵要求。
京公網安備 11010502049343號