勒索软件攻击和数据恢复：完整概述

勒索軟體攻擊造成的資料損失和停機時間，對任何行業的企業都是一個危險的威脅。根據Sophos的數據，2023年的平均贖金已達到$1.54百萬美元。不幸的是，勒索軟體攻擊的強度每年都在增加。每個人都面臨風險。勒索軟體安裝在電腦上後，通過使用強大的加密算法刪除或損壞數據。

勒索軟體背後的惡意行為者通常要求支付一筆金錢（贖金）來釋放數據並使其再次可用。然而，除了激勵罪犯外，這些付款並不能保證您完全可以使用數據。這篇博客文章解釋了如何有效從勒索軟體攻擊中恢復，同時避免與攻擊者進行交易。

勒索軟體攻擊後該怎麼辦

儘管有許多預防措施可用，但您的組織仍有可能成為勒索軟體攻擊的受害者。以下做法可以幫助您在發生勒索軟體攻擊時，最大限度地減少其影響。如果您的機器感染了勒索軟體，在從勒索軟體中恢復文件之前，請遵循以下建議。

• 斷開受感染的設備。一旦您發現機器感染了惡意軟件，您必須立即將設備與網絡和外部存儲設備分開。這樣，您可以確保您基礎架構中的其他機器和系統也不會受到感染。這一步使您能夠保存未受影響的數據，並減少從勒索軟件中恢復文件所需的工作量。

  之後，確定實際受到勒索軟件攻擊影響的機器數量，並尋找基礎架構中的可疑活動。

• 辨識勒索軟體。與首次發現問題的人交談。詢問事件發生前他們在做什麼，是否收到帶有可疑附件的電子郵件，以及最近下載了哪些文件。辨識勒索軟體的類型提供了寶貴的信息，可用於辨識數據保護系統中的漏洞並相應地進行修改。

  此外，如果成功確定了勒索軟體的類型，您可以確切知道您的文件受到了什麼影響（即它們是否被加密或鎖定）。然後，您可以了解不支付贖金可能帶來的潛在後果，以及應該使用哪種策略成功從勒索軟體攻擊中恢復。

• 報告問題。在進行員工培訓時，向您的員工解釋重要性，即對其設備上的任何可疑活動通知IT支援團隊。這樣，IT專業人員可以及時應對勒索軟體攻擊，以免造成嚴重損害。之後，將勒索軟體攻擊報告給當局（例如，如果您在美國，則報告給聯邦調查局），並提供有關事件的所有必要信息。向當局報告可以幫助防止相同勒索軟體行為者的未來攻擊。

• 不要支付贖金。執法官員建議不要遵從攻擊者的要求，因為這會鼓勵未來更多的勒索軟體攻擊。尋求快速賺錢的駭客將認為您是他們未來攻擊的容易目標。此外，在大多數情況下，支付贖金並不能保證攻擊者會如約解鎖或解密數據。請記住，您正在與只對利潤感興趣的罪犯打交道。

• 確定勒索軟體攻擊的影響。您應該確定有多少數據已被損壞，有多少設備因此受到感染，以及從攻擊中恢復需要多長時間。此外，評估無法使用的關鍵數據的重要性，並確定是否可以在不支付贖金的情況下恢復。

• 從勒索軟體中恢復系統。在從計算機中刪除勒索軟體後，您可以開始勒索軟體攻擊恢復。

勒索軟體加密文件的恢復選項

有多種方法可以在勒索軟件攻擊後進行數據恢復。這些方法的有效性取決於情況。

使用操作系統中的內置工具

如果您使用的是 Windows 10，您可以嘗試使用 Windows 系統還原工具從自動創建的還原點中恢復系統設置和程序設置。不能使用此方法恢復所有數據。現代勒索軟件可以禁用系統還原，並刪除或損壞 Windows 還原點。在這種情況下，此方法無效。

使用勒索軟件解密工具

如果您已經檢測到了勒索軟件的類型和版本，請嘗試尋找安全研究人員提供的解密工具。並非每個勒索軟件版本都有解密工具。現在越來越難找到解密工具。

使用恢復已刪除文件的軟件

如果勒索軟件沒有覆蓋磁盤上的文件並將磁盤表面填充為零或隨機數據，那麼您有可能恢復一些重要數據。掃描磁盤表面需要很長時間。恢復後的文件名可能會丟失，它們的名稱可能像 RECOVER0001.JPG，RECOVER0002.JPG，等等。

從備份中恢復數據

這個方法的主要重點在於你必須提前準備，而不是等到勒索軟體感染了你的機器才行動。如果在勒索軟體攻擊之前你沒有創建備份，這個方法就不適用。你需要提前準備，並定期備份數據。備份的最佳做法建議遵循 3-2-1 備份規則，並將備份存儲在外部位置和/或離線以供從勒索軟體攻擊中恢復。你可以使用雲端、 磁帶 和/或 不可變備份 存儲來實現這一目的。

創建備份的最佳方法是使用專用的數據保護解決方案，支援不同類型的工作負載和基礎設施，並允許你實現 3-2-1 備份規則。

這樣的一個解決方案是 NAKIVO 備份與復原。 NAKIVO 的解決方案 可以增加備份性能，確保數據可恢復性，並改善勒索軟體的恢復。該解決方案支持對物理服務器、虛擬機器（VMware vSphere、Microsoft Hyper-V、Nutanix AHV）、Amazon EC2 實例和 Microsoft 365 的數據保護。使用這個解決方案，你可以：

• 執行基於映像的、應用程序感知的、增量備份和復制。

• 輕鬆創建備份副本，無需牽涉源主機或虛擬機器（VM）。將備份存儲在遠程站點、公共雲或磁帶中。

• 在遠端站點、公有雲或磁帶中儲存備份。

• 對於本地Linux基礎的儲存庫或在Amazon S3雲中啟用不可變性。

• 選擇多種靈活的恢復選項，包括即時VM開機、細粒度恢復和將物理機器恢復為VMware vSphere VM的P2V恢復。

• 通過將各種動作和條件安排成自動化序列來創建災難恢復工作流程。

從勒索軟件中恢復需要多長時間？

從勒索軟件病毒加密文件攻擊中恢復所需的時間取決於受感染計算機上的受損數據量和用於勒索軟件恢復的方法。在估計勒索軟件攻擊恢復所需的時間時，我們指的是數據恢復和將所有系統恢復在線並恢復工作負載。

恢復數據和恢復工作負載的時間可能從幾天到幾個月不等。讓我們看看影響恢復時間的主要因素。

• A system administrator’s experience. Skilled system administrators usually have multiple disaster recovery plans for different scenarios and know what to do in each situation. You should have a ransomware recovery plan to be prepared for ransomware attacks.

• 使用解密工具（如果您找到特定勒索軟件版本的解密工具）進行恢復可能需要很長時間。如果文件名在加密後也被更改（例如sLc6-fAl26m.nSeB2代替image001.jpg），則在恢復後將它們放回正確的目錄將需要更多時間。您需要尊重正確的文件和目錄結構，尤其是當這些文件是應用程序運行所必需的時候。

• 備份數據可以減少文件和伺服器勒索軟體恢復所需的時間。在勒索軟體攻擊後從備份中恢復文件的優勢在於您可以恢復結構化數據，包括文件和文件夾名稱及其正確的路徑。您需要選擇適當日期/時間的備份，並選擇恢復數據的目的地位置。然後只需等待數據複製和恢復。
  此外，像NAKIVO備份與復原這樣的備份解決方案依賴於基於映像的技術來捕獲虛擬機器和物理機器的備份。這意味著備份會捕獲操作系統和與操作系統相關的其他文件，例如應用程式配置文件和系統狀態，幫助您節省恢復系統運行時間。

• 勒索軟體恢復計劃的不足測試可能導致比預期更長的數據恢復時間。因此，請務必嘗試測試您的恢復計劃，以確保您可以在適當的時間框架內恢復所需的一切。

請注意，當制定包括勒索軟體災難恢復計劃的災難恢復策略時，您應該考慮RTO和RPO指標。

結論

勒索軟體恢復是一個包括數據恢復和恢復工作負載的複雜過程。勒索軟體恢復的成本和時間取決於備份策略和從勒索軟體攻擊中恢復所需的準備工作量。

主要的解決勒索軟體攻擊引起的問題的方法是採取預防措施並定期備份數據。遵循 3-2-1 備份規則，使用不可變備份存儲和可靠的數據保護解決方案，可以自動化任務。