勒索病毒入侵会对您的业务数据进行加密勒索,导致业务中断、数据泄露、数据丢失等,从而带来严重的业务风险。
防止勒索病毒有三个方向:
- 1)实时防御已知勒索病毒
各个云厂商的云安全中心实现了对大量已知勒索病毒的实时防御。在服务器被病毒感染前拦截勒索病毒,避免发生文件被病毒加密而进行勒索的情况。开启恶意主机行为防御功能后,可以拦截已知勒索病毒。 - 2)诱捕、拦截新型未知勒索病毒
在服务器中设置目录陷阱的方式放置诱饵,实时捕捉可能存在的勒索病毒行为。针对新型未知的勒索病毒,一旦识别到有异常加密行为发生,会立刻拦截对应病毒,同时通知用户进行排查清理。 - 3)备份恢复
前面两步都不管用,文件被加密,最后兜底的方案只能是备份。
而针对勒索病毒的备份方案的核心原理是隔离备份环境和确保备份文件的不可篡改性。
一、防御原理
-
物理/逻辑隔离
- 将备份存储与主系统隔离(如离线存储、只读存储或独立网络),防止病毒通过主系统传播到备份。
- 限制备份存储的写入权限,仅允许备份时临时挂载。
-
不可变存储(Immutable Storage)
- 使用不可变技术(如WORM:Write Once Read Many)确保备份文件一旦写入无法被修改或删除。
-
版本控制与快照
- 保留多个历史备份版本,即使最新备份被加密,仍可通过旧版本恢复。
-
权限最小化
- 通过操作系统或存储系统的权限控制,禁止非授权进程(如病毒)访问备份目录。
二、详细实现示例
场景:
在 Linux 系统中使用本地硬盘和云存储实现防勒索备份。
示例 1:本地离线备份(物理隔离)
步骤:
-
准备备份存储设备
- 使用独立移动硬盘或 NAS,平时保持与主系统断开连接。
-
自动化备份脚本
#!/bin/bash # 挂载备份硬盘(仅在备份时连接) mount /dev/sdb1 /mnt/backup# 使用 rsync 增量备份关键数据 rsync -av --delete /重要数据 /mnt/backup/# 卸载硬盘,断开物理连接 umount /mnt/backup -
定时任务
- 通过
cron每天定时执行脚本,备份完成后自动卸载硬盘。
- 通过
优点:物理隔离彻底避免网络攻击。
示例 2:云存储 + 不可变特性(逻辑隔离)
使用 AWS S3 对象锁定(Object Lock):
-
配置 S3 存储桶策略
- 启用 对象锁定 和 版本控制,设置保留策略(如 7 天内禁止删除)。
-
备份脚本(使用 AWS CLI)
# 压缩并上传数据,设置对象保留策略 tar -czf backup-$(date +%Y%m%d).tar.gz /重要数据 aws s3 cp backup-*.tar.gz s3://my-backup-bucket/ --storage-class GLACIER_IR# 对上传对象应用 7 天不可变性 aws s3api put-object-retention --bucket my-backup-bucket \--key backup-$(date +%Y%m%d).tar.gz \--retention '{ "Mode": "GOVERNANCE", "RetainUntilDate": "'$(date -d "+7 days" +%Y-%m-%d)'" }'
优点:即使黑客获得账户权限,也无法在保留期内删除或加密备份。
示例 3:文件系统快照(版本控制)
使用 ZFS 快照:
-
创建 ZFS 存储池
zpool create backup_pool /dev/sdb1 -
定时创建不可变快照
# 每日创建快照 zfs snapshot backup_pool@$(date +%Y%m%d)# 设置快照只读(不可删除) zfs set readonly=on backup_pool@$(date +%Y%m%d)
恢复方法:
zfs rollback backup_pool@20250501
三、补充防护措施
-
网络隔离
- 使用独立 VLAN 或防火墙规则限制备份服务器的访问(仅允许备份服务 IP 和端口)。
-
权限控制
- 限制备份目录权限(如
chmod 700 /备份目录+chown backup_user:backup_group /备份目录)。
- 限制备份目录权限(如
-
监控与告警
- 监控备份文件的哈希值变化,异常时触发告警。
-
多层备份策略(3-2-1 原则)
- 3 份备份、2 种介质、1 份异地。
四、总结
通过 物理/逻辑隔离、不可变存储 和 版本控制 的组合,可有效防止勒索软件破坏备份。实际部署时需根据环境选择合适方案(如企业优先云存储+对象锁定,个人用户可使用离线硬盘)。
)
