確保系統(tǒng)不會被感染，最好的勒索軟件恢復預防措施就是需要確保組織的所有服務器都經(jīng)過修補，安裝防火墻和正確的防病毒軟件。它還包括培訓最終用戶識別可疑電子郵件和惡意網(wǎng)站。

 

預防的挑戰(zhàn)是勒索軟件攻擊的數(shù)量和頻率。由于惡意軟件的盈利能力，這種軟件的開發(fā)人員可以投資于加快攻擊過程的新技術(shù)，并克服IT團隊采取的各種對策。

 

 

第二步是保護。對于勒索軟件，保護數(shù)據(jù)中心不僅僅是一個很好的備份。大多數(shù)的數(shù)據(jù)備份過程每晚運行一次。假設最后一次備份成功，這意味著如果在下一個工作日結(jié)束時發(fā)生攻擊，則大量關(guān)鍵數(shù)據(jù)容易受到攻擊。

 

在勒索軟件肆虐的時代，IT團隊應該設計至少每隔30分鐘保護數(shù)據(jù)的系統(tǒng)。而且，不僅僅是保護關(guān)鍵任務數(shù)據(jù)。盡管MS-SQL這樣的數(shù)據(jù)庫的應用程序確實已經(jīng)并將繼續(xù)成為勒索軟件加密的受害者，但大多數(shù)贖金都是來自加密的服務器數(shù)據(jù)的標準文件。

 

30分鐘保護窗口需要更智能的備份應用程序，可以有效地識別子文件級別的更改，并在網(wǎng)絡上傳輸這些更改。例子包括塊級增量，更改塊跟蹤，以及源端重復數(shù)據(jù)刪除。這些更細粒度的備份技術(shù)使備份更頻繁地發(fā)生，并減少對應用程序和網(wǎng)絡基礎(chǔ)設施的影響。

 

 

文件恢復可能是防止勒索軟件最重要的一步。恢復的第一部分是檢測。勒索軟件通過加密文件來工作。要加密文件，惡意軟件必須打開文件，其數(shù)據(jù)位將重新排列，然后重新保存該文件。檢測是直接的手段和措施。IT人員必須擁有正確的工具，可以在短時間內(nèi)為任何特定用戶查找大量文件的快速變化。

 

雖然有具體的工具來監(jiān)控這種類型的活動，但提供這種功能的優(yōu)秀提供商可以提供適當?shù)臄?shù)據(jù)保護解決方案，特別是如果每??15到30分鐘執(zhí)行一次數(shù)據(jù)備份。如果數(shù)據(jù)保護解決方案可以提醒管理員在15分鐘間隔內(nèi)更改大量文件，那么它本質(zhì)上可以將檢測集成到應用程序中，從而無需另外工具的檢測。一些供應商將這種類型的“異常檢測”集成到其備份解決方案中。

 

一旦檢測并阻止了勒索軟件，最后一步就是恢復數(shù)據(jù)。恢數(shù)據(jù)復可能有兩種形式(假設沒有支付贖金)。第一種形式是在病毒開始發(fā)作之后不久就會發(fā)現(xiàn)檢測。在這種情況下，可能恢復幾十到幾百個文件。如果監(jiān)視解決方案可以將該列表提供給恢復軟件，那么簡單地恢復這些文件可能更容易。

 

另一種情況是勒索軟件在一個服務器或甚至幾個服務器工作時發(fā)作。發(fā)生這種情況并不需要很長時間，許多勒索軟件能夠在幾分鐘內(nèi)感染10萬個以上文件。

 

如果是第二種情況，假設選擇的恢復解決方案是可行的，簡單的解決方案可能是恢復整個服務器的數(shù)據(jù)。它是災難恢復即服務(DRaaS)的理想用例。使用DRaaS，IT管理人員可以在數(shù)分鐘內(nèi)將整個服務器作為虛擬實例(內(nèi)部部署或云端)進行恢復。此外，如果如上所述在解決方案中內(nèi)置了更改檢測，那么IT團隊也將準確知道所恢復的服務器的哪個版本。

 

恢復的關(guān)鍵在于它必須足夠容易，而且足夠快，這樣就可以避免支付贖金。

 

對于勒索軟件來說，預防是重要的。但IT團隊需要隨時為可能遇到的情況做好準備。這意味著在某些時候，他們需要恢復數(shù)據(jù)(甚至運行應用程序)并快速完成。對于大多數(shù)組織來說，滿足這些要求可能需要一個備用的更高效的解決方案，可以頻繁備份，并快速恢復數(shù)據(jù)。