勒索软件攻击与数据恢复：完整概述

勒索软件攻击是任何行业的企业都面临的危险威胁，由于数据丢失和停机时间，它们造成了严重的损失。根据Sophos的数据，2023年的平均勒索金额已达到154万美元。不幸的是，勒索软件攻击的强度逐年增加。每个人都面临着风险。在计算机上安装了勒索软件后，它会使用强大的加密算法删除或损坏数据。

勒索软件背后的恶意行为者通常要求支付一笔钱（赎金）来释放数据并使其再次可用。然而，除了激励罪犯外，这些付款并不能保证您完全可以访问可用数据。本博客文章解释了如何有效地从勒索软件攻击中恢复，同时避免与攻击者进行交易。

勒索软件攻击后该怎么办

尽管有许多预防措施可用，但您的组织仍有可能成为勒索软件攻击的受害者。以下做法可以帮助您在发生勒索软件攻击时最大程度地减少影响。如果您的机器感染了勒索软件，请在从勒索软件中恢复文件之前遵循这些建议。

• 断开感染的设备。一旦您发现设备感染了恶意软件，必须立即断开设备与网络和外部存储设备的连接。这样，您可以确保基础设施中的其他机器和系统不会被感染。这一步可以帮助您保存未受影响的数据，并减少从勒索软件中恢复文件所需的工作量。

  之后，确定实际受到勒索软件攻击影响的机器数量，并在您的基础设施中寻找可疑活动。

• 确定勒索软件的类型。与首次发现问题的人交谈。询问事件发生前他们在做什么，是否收到带有可疑附件的电子邮件，以及他们最近下载了哪些文件。确定勒索软件的类型提供了宝贵的信息，可用于识别数据保护系统中的漏洞，并相应地修改。

  此外，如果成功确定了勒索软件的类型，您可以准确了解您的文件受到了什么影响（即它们是否被加密或锁定）。然后，您可以理解不支付赎金可能带来的潜在后果，以及应该使用哪种策略成功恢复从勒索软件攻击中。

• 报告问题。在进行员工培训时，向员工解释通知IT支持团队有关其计算机上任何可疑活动的重要性。这样，IT专业人员可以在严重损害发生之前及时应对勒索软件攻击。之后，向当局报告勒索软件攻击（例如，如果您在美国，则向FBI报告），并向他们提供有关事件的所有必要信息。向当局报告可以帮助防止相同勒索软件行为者的未来攻击。

• 不要支付赎金。执法官员建议不要屈服于攻击者的要求，因为这会鼓励未来发生更多的勒索软件攻击。寻求快速赚钱的黑客将会把您视为未来攻击的易目标。此外，在大多数情况下，支付赎金并不能保证攻击者会按照承诺解锁或解密数据。请记住，您正在与只对利润感兴趣的犯罪分子打交道。

• 确定勒索软件攻击的影响。您应该确定有多少数据已经损坏，由于攻击导致了多少台机器感染，并且需要多长时间才能从攻击中恢复。此外，评估不可用数据的关键性，并确定是否可以在不支付赎金的情况下恢复。

• 从勒索软件中恢复您的系统。从计算机中删除勒索软件后，您可以开始勒索软件攻击的恢复。

勒索软件加密文件的恢复选项

在勒索软件攻击后，有多种数据恢复方法。这些方法的有效性取决于情况。

使用操作系统中的内置工具

如果您使用的是Windows 10，您可以尝试使用Windows系统还原工具从自动创建的恢复点中恢复系统设置和程序设置。并非所有数据都可以使用此方法恢复。现代勒索软件可以禁用系统还原并删除或损坏Windows恢复点。在这种情况下，此方法无效。

使用勒索软件解密工具

如果您已经检测到了勒索软件的类型和版本，请尝试找到安全研究人员提供的解密工具。并非每个勒索软件版本都有解密工具。如今越来越难找到解密工具。

使用软件恢复已删除的文件

如果勒索软件没有覆盖磁盘上的文件并且填满磁盘表面的零或随机数据，那么您有机会恢复一些关键数据。扫描磁盘表面需要很长时间。恢复后的文件名可能会丢失，并且它们的名称可能类似于RECOVER0001.JPG，RECOVER0002.JPG等。

从备份中恢复数据

该方法的主要要点是你必须提前准备，而不是等到勒索软件感染了你的机器。如果在勒索软件攻击之前你还没有创建备份，这种方法就不适用了。你需要提前准备并定期备份数据。备份最佳实践建议遵循 3-2-1备份规则 并将备份存储在离线和/或脱机以从勒索软件攻击中恢复。你可以使用云、 磁带 和/或 不可变备份 存储来实现这一目的。

创建备份的最佳方法是使用支持不同工作负载和基础架构类型，并允许你实施 3-2-1 备份规则的专用数据保护解决方案。

其中一种解决方案是 NAKIVO 备份与复制。 NAKIVO 的解决方案 允许你提高备份性能、确保数据可恢复性并改善勒索软件的恢复。该解决方案支持物理服务器、虚拟机（VMware vSphere、Microsoft Hyper-V、Nutanix AHV）、Amazon EC2 实例和 Microsoft 365 的数据保护。借助该解决方案，你可以：

• 执行基于图像、应用程序感知、增量备份和复制。

• 轻松创建备份副本，无需涉及源主机或虚拟机（VMs）。将备份存储在远程站点、公共云或磁带中。

• 在远程站点、公共云或磁带上存储备份。

• 为本地基于Linux的存储库或Amazon S3云中的存储库启用不可变性。

• 选择多种灵活的恢复选项，包括即时虚拟机启动、细粒度恢复以及将物理机器作为VMware vSphere虚拟机进行P2V恢复。

• 通过将各种操作和条件排列成一个自动化的序列来创建灾难恢复工作流程。

从勒索软件中恢复需要多长时间？

从勒索软件病毒加密文件攻击中恢复所需的时间取决于受感染计算机上损坏数据的数量以及用于勒索软件恢复的方法。在估计勒索软件攻击恢复所需的时间时，我们指的是数据恢复以及将所有系统恢复在线并恢复工作负载。

恢复数据和恢复工作负载的时间可以从几天到几个月不等。让我们来看看影响恢复时间的主要因素。

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• 使用解密工具进行恢复（如果你能找到特定勒索软件版本的解密工具）可能需要很长时间。如果文件名在加密后也被更改（例如sLc6-fAl26m.nSeB2而不是image001.jpg），那么在恢复后将它们放回正确的目录将需要更多时间。你需要尊重正确的文件和目录结构，尤其是如果这些文件是应用程序运行所必需的。

• 备份数据可减少文件和服务器勒索软件恢复所需的时间。在勒索软件攻击后从备份恢复文件的优势在于您可以恢复结构化数据，包括文件和文件夹名称以及它们的正确路径。您需要选择适当日期/时间的备份，并选择恢复数据的目标位置。然后只需等待数据被复制和恢复。
  此外，像NAKIVO Backup & Replication这样的备份解决方案依赖于基于图像的技术来捕获虚拟机和物理机的备份。这意味着备份会捕获操作系统和与操作系统相关的其他文件，例如应用程序配置文件和系统状态，帮助您节省系统恢复时间。

• 勒索软件恢复计划的不足测试可能导致比预期更长的数据恢复时间。因此，始终尝试测试您的恢复计划以确保您可以在适当的时间范围内恢复所需的所有内容。

请注意，在创建包括勒索软件灾难恢复计划的灾难恢复策略时，应考虑RTO和RPO指标。

结论

勒索软件恢复是一个复杂的过程，包括恢复数据和恢复工作负载。勒索软件恢复的成本和时间取决于备份策略的准备工作量以及从勒索软件攻击中恢复的过程。

主要缓解勒索软件攻击带来问题的方法是采取预防措施，并定期备份数据。遵循3-2-1备份规则，使用不可变备份存储和可靠的数据保护解决方案，可以自动化任务。