勒索病毒入侵會對您的業務數據進行加密勒索,導致業務中斷、數據泄露、數據丟失等,從而帶來嚴重的業務風險。
防止勒索病毒有三個方向:
- 1)實時防御已知勒索病毒
各個云廠商的云安全中心實現了對大量已知勒索病毒的實時防御。在服務器被病毒感染前攔截勒索病毒,避免發生文件被病毒加密而進行勒索的情況。開啟惡意主機行為防御功能后,可以攔截已知勒索病毒。 - 2)誘捕、攔截新型未知勒索病毒
在服務器中設置目錄陷阱的方式放置誘餌,實時捕捉可能存在的勒索病毒行為。針對新型未知的勒索病毒,一旦識別到有異常加密行為發生,會立刻攔截對應病毒,同時通知用戶進行排查清理。 - 3)備份恢復
前面兩步都不管用,文件被加密,最后兜底的方案只能是備份。
而針對勒索病毒的備份方案的核心原理是隔離備份環境和確保備份文件的不可篡改性。
一、防御原理
-
物理/邏輯隔離
- 將備份存儲與主系統隔離(如離線存儲、只讀存儲或獨立網絡),防止病毒通過主系統傳播到備份。
- 限制備份存儲的寫入權限,僅允許備份時臨時掛載。
-
不可變存儲(Immutable Storage)
- 使用不可變技術(如WORM:Write Once Read Many)確保備份文件一旦寫入無法被修改或刪除。
-
版本控制與快照
- 保留多個歷史備份版本,即使最新備份被加密,仍可通過舊版本恢復。
-
權限最小化
- 通過操作系統或存儲系統的權限控制,禁止非授權進程(如病毒)訪問備份目錄。
二、詳細實現示例
場景:
在 Linux 系統中使用本地硬盤和云存儲實現防勒索備份。
示例 1:本地離線備份(物理隔離)
步驟:
-
準備備份存儲設備
- 使用獨立移動硬盤或 NAS,平時保持與主系統斷開連接。
-
自動化備份腳本
#!/bin/bash # 掛載備份硬盤(僅在備份時連接) mount /dev/sdb1 /mnt/backup# 使用 rsync 增量備份關鍵數據 rsync -av --delete /重要數據 /mnt/backup/# 卸載硬盤,斷開物理連接 umount /mnt/backup -
定時任務
- 通過
cron每天定時執行腳本,備份完成后自動卸載硬盤。
- 通過
優點:物理隔離徹底避免網絡攻擊。
示例 2:云存儲 + 不可變特性(邏輯隔離)
使用 AWS S3 對象鎖定(Object Lock):
-
配置 S3 存儲桶策略
- 啟用 對象鎖定 和 版本控制,設置保留策略(如 7 天內禁止刪除)。
-
備份腳本(使用 AWS CLI)
# 壓縮并上傳數據,設置對象保留策略 tar -czf backup-$(date +%Y%m%d).tar.gz /重要數據 aws s3 cp backup-*.tar.gz s3://my-backup-bucket/ --storage-class GLACIER_IR# 對上傳對象應用 7 天不可變性 aws s3api put-object-retention --bucket my-backup-bucket \--key backup-$(date +%Y%m%d).tar.gz \--retention '{ "Mode": "GOVERNANCE", "RetainUntilDate": "'$(date -d "+7 days" +%Y-%m-%d)'" }'
優點:即使黑客獲得賬戶權限,也無法在保留期內刪除或加密備份。
示例 3:文件系統快照(版本控制)
使用 ZFS 快照:
-
創建 ZFS 存儲池
zpool create backup_pool /dev/sdb1 -
定時創建不可變快照
# 每日創建快照 zfs snapshot backup_pool@$(date +%Y%m%d)# 設置快照只讀(不可刪除) zfs set readonly=on backup_pool@$(date +%Y%m%d)
恢復方法:
zfs rollback backup_pool@20250501
三、補充防護措施
-
網絡隔離
- 使用獨立 VLAN 或防火墻規則限制備份服務器的訪問(僅允許備份服務 IP 和端口)。
-
權限控制
- 限制備份目錄權限(如
chmod 700 /備份目錄+chown backup_user:backup_group /備份目錄)。
- 限制備份目錄權限(如
-
監控與告警
- 監控備份文件的哈希值變化,異常時觸發告警。
-
多層備份策略(3-2-1 原則)
- 3 份備份、2 種介質、1 份異地。
四、總結
通過 物理/邏輯隔離、不可變存儲 和 版本控制 的組合,可有效防止勒索軟件破壞備份。實際部署時需根據環境選擇合適方案(如企業優先云存儲+對象鎖定,個人用戶可使用離線硬盤)。
)
