2017年5月“WannaCry”勒索病毒全球爆發(fā)，據(jù)保守估計有超過150個國家至少30萬名用戶中招，造成損失達(dá)80億美元(約合人民幣555億元)，開創(chuàng)了地下黑產(chǎn)的全新商業(yè)模式，從此打開了潘多拉魔盒勒索病毒持續(xù)的變種， WannaCry變種、GlobeImposter、Satan等病毒先后來襲。2018年初 GandCrab的病毒現(xiàn)身網(wǎng)絡(luò)，目前其最新版本已經(jīng)更新到5.0，近期GandCrab5.0勒索病毒的傳播開始快速增長，不少Windows服務(wù)器上的文件被加密。

　　

　　勒索機理

　　

　　勒索病毒爆發(fā)后能不能通過數(shù)據(jù)恢復(fù)的方式、破解的方式找回被加密的文件，挽回或降低損失？這必須要了解勒索病毒加密機制，勒索病毒工作時采用對稱加密算法和非對稱加密算法兩種加密算法：對稱算法是來加密解密文件的，非對稱算法是來保存對稱算法的秘鑰的。

　　

　　

　　病毒首先在目標(biāo)計算機隨機生成user-Public-key 和 user-Private-key，第二步將“user-Private-key ”+ “病毒作者Public-key”使用非對稱RSA算法加密生成加密后的“xxx-user-Private-key”。第三步隨機生成一個“AES-KEY”將“AES-KEY” + “user-Public-key”采用非對稱RSA算法加密得到加密后的“xxx-AES-KEY”，用于保證“AES-KEY”的絕對安全。最后再將“原始文件” + “AES-KEY ”使用 AES 加密算法加密成加密后的文件使客戶無法使用數(shù)據(jù)造成損失，進而勒索贖金。

　　

　　

　　病毒作者首先用“病毒作者Private-key”+“xxx-user-Private-key ”使用非對稱RSA算法解密得到“user-Private-key”。

　　

　　在客戶計算機中，將“xxx-AES-KEY ”+ “user-Private-key”解密成最為關(guān)鍵的“AES-KEK”用解密出來的“AES-KEY ”對被加密的文件進行解密，得到用戶的原始文件。

　　

　　理論上整個勒索的全程只有作者的“private-key”私鑰可以解密“xxx-user-Private-key，通過解密“xxx-user-Private-key文件得到“user-Private-key”，再用“user-Private-key”解密“xxx-AES-KEY ”得到關(guān)鍵的“AES-KEY ”實現(xiàn)對加密文件恢復(fù)。若想破解勒索病毒的加密獲得數(shù)據(jù)，縱觀整個勒索病毒加密工作的全程，關(guān)鍵的兩個是“AES-KEY”和病毒作者的“private-key”。

　　

　　破解都是屬于概率極小的事件，稱之為“萬幸”也不為過，所以“應(yīng)對勒索病毒，決不能有僥幸心理，必須構(gòu)建最后一道防線”，幾個可能如下，：

　　

　　1、隨機數(shù)“AES-KEY”是偽隨機被猜測出來，導(dǎo)致“AES-KEY”被破解出來；

　　

　　2、“病毒作者的private-key”私鑰泄露，導(dǎo)致“AES-KEY”被破解出來；

　　

　　3、弱秘鑰導(dǎo)致key1被暴力破解出來（正常情況下生成的 1024位 2048位 RSA密鑰，大多數(shù)時候都沒有這么長的有效位數(shù)，通過數(shù)學(xué)推導(dǎo)有機會可以暴力破解復(fù)雜度降低到 800位以下的密鑰（從公鑰推導(dǎo)出私鑰）但是成本太高）。

　　

　　應(yīng)對勒索病毒的攻擊，任何的網(wǎng)絡(luò)安全的防范手段都不能保證百分百的安全，唯有數(shù)據(jù)備份與災(zāi)難恢復(fù)能力建設(shè)是數(shù)據(jù)安全的最后一道防線，數(shù)據(jù)備份的RPO值決定業(yè)務(wù)系統(tǒng)遭受勒索后最小的數(shù)據(jù)損失量，災(zāi)難恢復(fù)的復(fù)雜度和速度關(guān)乎到業(yè)務(wù)系統(tǒng)恢復(fù)的時間RTO和投入成本。但還需要關(guān)注以下風(fēng)險和挑戰(zhàn)：

　　

　　1、  僅保護數(shù)據(jù)，不夠完整：傳統(tǒng)數(shù)據(jù)備份產(chǎn)品只對最重要的文件、數(shù)據(jù)庫數(shù)據(jù)做保護，勒索病毒隨機的加密文件，加密到未備份的數(shù)據(jù)，依然會影響數(shù)據(jù)和應(yīng)用系統(tǒng)的使用，同時缺乏對業(yè)務(wù)系統(tǒng)軟件生產(chǎn)環(huán)境的保護如操作系統(tǒng)、應(yīng)用軟件、軟件配置和設(shè)置等軟件環(huán)境的保護，使得運維操作復(fù)雜、災(zāi)難恢復(fù)復(fù)雜和恢復(fù)時間長；

　　

　　2、  操作復(fù)雜，運維難：傳統(tǒng)數(shù)據(jù)備份方案在使用、運維時有眾多的前置條件，對主機類型、是否有虛擬化、業(yè)務(wù)結(jié)構(gòu)、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本等等都有著各種限制和要求，甚至還需要編寫腳本進行維護、使用，對于非數(shù)據(jù)備份行業(yè)的專業(yè)人士挑戰(zhàn)極大，由于配置和操作導(dǎo)致數(shù)據(jù)備份系統(tǒng)不能正常運行的現(xiàn)象屢見不鮮；

　　

　　3、  異構(gòu)主機平臺兼容性差：對硬件適應(yīng)性要求特別高，在同構(gòu)的環(huán)境下才有可能恢復(fù)成功，對于現(xiàn)在用戶數(shù)據(jù)中心是虛擬化，物理主機、云主機、超融合平臺等混合型架構(gòu)，異構(gòu)環(huán)境的恢復(fù)是常態(tài)，異構(gòu)兼容性差的傳統(tǒng)數(shù)據(jù)備份方案會遭遇很多困難，導(dǎo)致恢復(fù)不成功；

　　

　　4、  恢復(fù)時間長，耗時以天為單位：傳統(tǒng)數(shù)據(jù)備份方案在數(shù)據(jù)恢復(fù)之前，需人工完成操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫的安排、配置和調(diào)試，再導(dǎo)入備份的數(shù)據(jù)，耗費數(shù)天時間為常態(tài)。

　　

　　5、  數(shù)據(jù)備份系統(tǒng)可靠性驗證難：由于數(shù)據(jù)備份、容災(zāi)系統(tǒng)的高可靠要求，對該系統(tǒng)的運行效果需要保持固定頻率的驗證，數(shù)據(jù)備份廠商只做了數(shù)據(jù)庫里的數(shù)據(jù)保護，脫離生產(chǎn)環(huán)境的數(shù)據(jù)庫的驗證幾乎不可行，需要搭建同構(gòu)的生產(chǎn)環(huán)境進行驗證時，需要軟件廠商、數(shù)據(jù)庫廠商的工程師到場投入大、耗時長。

　　

　　隨著云時代的到來，科力銳云災(zāi)備管理系統(tǒng)深刻理解云計算的“隨需所取，隨取所用”的本質(zhì)和理念，提供“無關(guān)位置（本地異地）、無關(guān)主機類型（X86、虛擬化、超融合和云主機）、無關(guān)業(yè)務(wù)類型和結(jié)構(gòu)、無關(guān)數(shù)據(jù)庫品牌和版本的隨處的系統(tǒng)級整機備份、容災(zāi)、恢復(fù)、重建解決方案”，無任何前置條件、適應(yīng)性強、操作簡單，應(yīng)對各種應(yīng)用停機事件、勒索病毒，CDP持續(xù)保護數(shù)據(jù)，快速重建技術(shù)實現(xiàn)分鐘級業(yè)務(wù)數(shù)據(jù)、整機快速回滾，保障數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性！

　　

　　科力銳，以讓災(zāi)備更可靠、更快速、更簡單為使命，以客戶需求為根本，為用戶提供智動、簡單和高可靠的災(zāi)備和災(zāi)難恢復(fù)服務(wù)，為客戶輸送全生命周期的災(zāi)備運維和管理能力。

　　

　　1、整機保護業(yè)務(wù)系統(tǒng)（生產(chǎn)環(huán)境和數(shù)據(jù)）：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)將客戶的業(yè)務(wù)系統(tǒng)軟件生產(chǎn)環(huán)境的保護如操作系統(tǒng)、應(yīng)用軟件、軟件配置、設(shè)置等軟件環(huán)境的保護，還保護整機所有數(shù)據(jù)，防范任意的勒索病毒加密風(fēng)險，且在日常運維的時候簡單、無需復(fù)雜配置，在災(zāi)難恢復(fù)的時候可以實現(xiàn)自動全場景恢復(fù)，無需人工干預(yù)和無需第三方廠商到場支持，恢復(fù)時間短；

　　

　　2、災(zāi)備系統(tǒng)運維簡單：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)在使用、運維時無前置條件，對主機類型、是否有虛擬化、業(yè)務(wù)結(jié)構(gòu)、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本等等都沒有各種限制和要求，全WEB操作實現(xiàn)：容災(zāi)備份、驗證備份點可靠性、災(zāi)難演練和恢復(fù)重建；

　　

　　3、異構(gòu)主機平臺兼容性強：對硬件適應(yīng)性要求特別強，在異構(gòu)的環(huán)境下可實現(xiàn)自動恢復(fù)成功，在用戶混合架構(gòu)的數(shù)據(jù)中心（虛擬化，X86物理主機、云主機、超融合平臺等）異構(gòu)環(huán)境下可實現(xiàn)用戶業(yè)務(wù)系統(tǒng)在異構(gòu)主機平臺上自動跨平臺恢復(fù)重建；

　　

　　4、分鐘級快速恢復(fù)重建：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)采用“三級冷熱數(shù)據(jù)分級快速重建”的專利技術(shù)，實現(xiàn)用戶的業(yè)務(wù)系統(tǒng)整機在原機、異構(gòu)主機上快速重建，僅需數(shù)十分鐘即可實現(xiàn)災(zāi)難恢復(fù)，受災(zāi)的業(yè)務(wù)系統(tǒng)重新對外提供服務(wù)，保障業(yè)務(wù)連續(xù)性和降低負(fù)面社會影響。

　　

　　5、災(zāi)備系統(tǒng)驗證快： 由于業(yè)務(wù)容災(zāi)系統(tǒng)的高可靠要求，對容災(zāi)系統(tǒng)的運行效果需要保持固定頻率的驗證，科力銳提供多種快速驗證的方式，耗時從數(shù)十秒到幾分鐘不等，極大的提高了業(yè)務(wù)容災(zāi)解決方案的可靠性。

　　

　　6、災(zāi)備系統(tǒng)演練簡單：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)提供極簡的災(zāi)難演練方案，只需要在任意主機上做快速恢復(fù)重建即可，無需暫停原有業(yè)務(wù)系統(tǒng)、無需協(xié)調(diào)第三方支持、無需配置同構(gòu)的演練環(huán)境，只需15分鐘即可在新的主機上完成災(zāi)難演練，提高組織的災(zāi)難應(yīng)急能力和業(yè)務(wù)容災(zāi)系統(tǒng)的可靠性。