2017年5月“WannaCry”勒索病毒全球爆發(fā)，據(jù)保守估計(jì)有超過(guò)150個(gè)國(guó)家至少30萬(wàn)名用戶中招，造成損失達(dá)80億美元(約合人民幣555億元)，開(kāi)創(chuàng)了地下黑產(chǎn)的全新商業(yè)模式，從此打開(kāi)了潘多拉魔盒勒索病毒持續(xù)的變種， WannaCry變種、GlobeImposter、Satan等病毒先后來(lái)襲。2018年初 GandCrab的病毒現(xiàn)身網(wǎng)絡(luò)，目前其最新版本已經(jīng)更新到5.0，近期GandCrab5.0勒索病毒的傳播開(kāi)始快速增長(zhǎng)，不少Windows服務(wù)器上的文件被加密。

　　

　　勒索機(jī)理

　　

　　勒索病毒爆發(fā)后能不能通過(guò)數(shù)據(jù)恢復(fù)的方式、破解的方式找回被加密的文件，挽回或降低損失？這必須要了解勒索病毒加密機(jī)制，勒索病毒工作時(shí)采用對(duì)稱加密算法和非對(duì)稱加密算法兩種加密算法：對(duì)稱算法是來(lái)加密解密文件的，非對(duì)稱算法是來(lái)保存對(duì)稱算法的秘鑰的。

　　

　　

　　病毒首先在目標(biāo)計(jì)算機(jī)隨機(jī)生成user-Public-key 和 user-Private-key，第二步將“user-Private-key ”+ “病毒作者Public-key”使用非對(duì)稱RSA算法加密生成加密后的“xxx-user-Private-key”。第三步隨機(jī)生成一個(gè)“AES-KEY”將“AES-KEY” + “user-Public-key”采用非對(duì)稱RSA算法加密得到加密后的“xxx-AES-KEY”，用于保證“AES-KEY”的絕對(duì)安全。最后再將“原始文件” + “AES-KEY ”使用 AES 加密算法加密成加密后的文件使客戶無(wú)法使用數(shù)據(jù)造成損失，進(jìn)而勒索贖金。

　　

　　

　　病毒作者首先用“病毒作者Private-key”+“xxx-user-Private-key ”使用非對(duì)稱RSA算法解密得到“user-Private-key”。

　　

　　在客戶計(jì)算機(jī)中，將“xxx-AES-KEY ”+ “user-Private-key”解密成最為關(guān)鍵的“AES-KEK”用解密出來(lái)的“AES-KEY ”對(duì)被加密的文件進(jìn)行解密，得到用戶的原始文件。

　　

　　理論上整個(gè)勒索的全程只有作者的“private-key”私鑰可以解密“xxx-user-Private-key，通過(guò)解密“xxx-user-Private-key文件得到“user-Private-key”，再用“user-Private-key”解密“xxx-AES-KEY ”得到關(guān)鍵的“AES-KEY ”實(shí)現(xiàn)對(duì)加密文件恢復(fù)。若想破解勒索病毒的加密獲得數(shù)據(jù)，縱觀整個(gè)勒索病毒加密工作的全程，關(guān)鍵的兩個(gè)是“AES-KEY”和病毒作者的“private-key”。

　　

　　破解都是屬于概率極小的事件，稱之為“萬(wàn)幸”也不為過(guò)，所以“應(yīng)對(duì)勒索病毒，決不能有僥幸心理，必須構(gòu)建最后一道防線”，幾個(gè)可能如下，：

　　

　　1、隨機(jī)數(shù)“AES-KEY”是偽隨機(jī)被猜測(cè)出來(lái)，導(dǎo)致“AES-KEY”被破解出來(lái)；

　　

　　2、“病毒作者的private-key”私鑰泄露，導(dǎo)致“AES-KEY”被破解出來(lái)；

　　

　　3、弱秘鑰導(dǎo)致key1被暴力破解出來(lái)（正常情況下生成的 1024位 2048位 RSA密鑰，大多數(shù)時(shí)候都沒(méi)有這么長(zhǎng)的有效位數(shù)，通過(guò)數(shù)學(xué)推導(dǎo)有機(jī)會(huì)可以暴力破解復(fù)雜度降低到 800位以下的密鑰（從公鑰推導(dǎo)出私鑰）但是成本太高）。

　　

　　應(yīng)對(duì)勒索病毒的攻擊，任何的網(wǎng)絡(luò)安全的防范手段都不能保證百分百的安全，唯有數(shù)據(jù)備份與災(zāi)難恢復(fù)能力建設(shè)是數(shù)據(jù)安全的最后一道防線，數(shù)據(jù)備份的RPO值決定業(yè)務(wù)系統(tǒng)遭受勒索后最小的數(shù)據(jù)損失量，災(zāi)難恢復(fù)的復(fù)雜度和速度關(guān)乎到業(yè)務(wù)系統(tǒng)恢復(fù)的時(shí)間RTO和投入成本。但還需要關(guān)注以下風(fēng)險(xiǎn)和挑戰(zhàn)：

　　

　　1、  僅保護(hù)數(shù)據(jù)，不夠完整：傳統(tǒng)數(shù)據(jù)備份產(chǎn)品只對(duì)最重要的文件、數(shù)據(jù)庫(kù)數(shù)據(jù)做保護(hù)，勒索病毒隨機(jī)的加密文件，加密到未備份的數(shù)據(jù)，依然會(huì)影響數(shù)據(jù)和應(yīng)用系統(tǒng)的使用，同時(shí)缺乏對(duì)業(yè)務(wù)系統(tǒng)軟件生產(chǎn)環(huán)境的保護(hù)如操作系統(tǒng)、應(yīng)用軟件、軟件配置和設(shè)置等軟件環(huán)境的保護(hù)，使得運(yùn)維操作復(fù)雜、災(zāi)難恢復(fù)復(fù)雜和恢復(fù)時(shí)間長(zhǎng)；

　　

　　2、  操作復(fù)雜，運(yùn)維難：傳統(tǒng)數(shù)據(jù)備份方案在使用、運(yùn)維時(shí)有眾多的前置條件，對(duì)主機(jī)類型、是否有虛擬化、業(yè)務(wù)結(jié)構(gòu)、數(shù)據(jù)庫(kù)品牌、數(shù)據(jù)庫(kù)版本等等都有著各種限制和要求，甚至還需要編寫腳本進(jìn)行維護(hù)、使用，對(duì)于非數(shù)據(jù)備份行業(yè)的專業(yè)人士挑戰(zhàn)極大，由于配置和操作導(dǎo)致數(shù)據(jù)備份系統(tǒng)不能正常運(yùn)行的現(xiàn)象屢見(jiàn)不鮮；

　　

　　3、  異構(gòu)主機(jī)平臺(tái)兼容性差：對(duì)硬件適應(yīng)性要求特別高，在同構(gòu)的環(huán)境下才有可能恢復(fù)成功，對(duì)于現(xiàn)在用戶數(shù)據(jù)中心是虛擬化，物理主機(jī)、云主機(jī)、超融合平臺(tái)等混合型架構(gòu)，異構(gòu)環(huán)境的恢復(fù)是常態(tài)，異構(gòu)兼容性差的傳統(tǒng)數(shù)據(jù)備份方案會(huì)遭遇很多困難，導(dǎo)致恢復(fù)不成功；

　　

　　4、  恢復(fù)時(shí)間長(zhǎng)，耗時(shí)以天為單位：傳統(tǒng)數(shù)據(jù)備份方案在數(shù)據(jù)恢復(fù)之前，需人工完成操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)的安排、配置和調(diào)試，再導(dǎo)入備份的數(shù)據(jù)，耗費(fèi)數(shù)天時(shí)間為常態(tài)。

　　

　　5、  數(shù)據(jù)備份系統(tǒng)可靠性驗(yàn)證難：由于數(shù)據(jù)備份、容災(zāi)系統(tǒng)的高可靠要求，對(duì)該系統(tǒng)的運(yùn)行效果需要保持固定頻率的驗(yàn)證，數(shù)據(jù)備份廠商只做了數(shù)據(jù)庫(kù)里的數(shù)據(jù)保護(hù)，脫離生產(chǎn)環(huán)境的數(shù)據(jù)庫(kù)的驗(yàn)證幾乎不可行，需要搭建同構(gòu)的生產(chǎn)環(huán)境進(jìn)行驗(yàn)證時(shí)，需要軟件廠商、數(shù)據(jù)庫(kù)廠商的工程師到場(chǎng)投入大、耗時(shí)長(zhǎng)。

　　

　　隨著云時(shí)代的到來(lái)，科力銳云災(zāi)備管理系統(tǒng)深刻理解云計(jì)算的“隨需所取，隨取所用”的本質(zhì)和理念，提供“無(wú)關(guān)位置（本地異地）、無(wú)關(guān)主機(jī)類型（X86、虛擬化、超融合和云主機(jī)）、無(wú)關(guān)業(yè)務(wù)類型和結(jié)構(gòu)、無(wú)關(guān)數(shù)據(jù)庫(kù)品牌和版本的隨處的系統(tǒng)級(jí)整機(jī)備份、容災(zāi)、恢復(fù)、重建解決方案”，無(wú)任何前置條件、適應(yīng)性強(qiáng)、操作簡(jiǎn)單，應(yīng)對(duì)各種應(yīng)用停機(jī)事件、勒索病毒，CDP持續(xù)保護(hù)數(shù)據(jù)，快速重建技術(shù)實(shí)現(xiàn)分鐘級(jí)業(yè)務(wù)數(shù)據(jù)、整機(jī)快速回滾，保障數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性！

　　

　　科力銳，以讓災(zāi)備更可靠、更快速、更簡(jiǎn)單為使命，以客戶需求為根本，為用戶提供智動(dòng)、簡(jiǎn)單和高可靠的災(zāi)備和災(zāi)難恢復(fù)服務(wù)，為客戶輸送全生命周期的災(zāi)備運(yùn)維和管理能力。

　　

　　1、整機(jī)保護(hù)業(yè)務(wù)系統(tǒng)（生產(chǎn)環(huán)境和數(shù)據(jù)）：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)將客戶的業(yè)務(wù)系統(tǒng)軟件生產(chǎn)環(huán)境的保護(hù)如操作系統(tǒng)、應(yīng)用軟件、軟件配置、設(shè)置等軟件環(huán)境的保護(hù)，還保護(hù)整機(jī)所有數(shù)據(jù)，防范任意的勒索病毒加密風(fēng)險(xiǎn)，且在日常運(yùn)維的時(shí)候簡(jiǎn)單、無(wú)需復(fù)雜配置，在災(zāi)難恢復(fù)的時(shí)候可以實(shí)現(xiàn)自動(dòng)全場(chǎng)景恢復(fù)，無(wú)需人工干預(yù)和無(wú)需第三方廠商到場(chǎng)支持，恢復(fù)時(shí)間短；

　　

　　2、災(zāi)備系統(tǒng)運(yùn)維簡(jiǎn)單：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)在使用、運(yùn)維時(shí)無(wú)前置條件，對(duì)主機(jī)類型、是否有虛擬化、業(yè)務(wù)結(jié)構(gòu)、數(shù)據(jù)庫(kù)品牌、數(shù)據(jù)庫(kù)版本等等都沒(méi)有各種限制和要求，全WEB操作實(shí)現(xiàn)：容災(zāi)備份、驗(yàn)證備份點(diǎn)可靠性、災(zāi)難演練和恢復(fù)重建；

　　

　　3、異構(gòu)主機(jī)平臺(tái)兼容性強(qiáng)：對(duì)硬件適應(yīng)性要求特別強(qiáng)，在異構(gòu)的環(huán)境下可實(shí)現(xiàn)自動(dòng)恢復(fù)成功，在用戶混合架構(gòu)的數(shù)據(jù)中心（虛擬化，X86物理主機(jī)、云主機(jī)、超融合平臺(tái)等）異構(gòu)環(huán)境下可實(shí)現(xiàn)用戶業(yè)務(wù)系統(tǒng)在異構(gòu)主機(jī)平臺(tái)上自動(dòng)跨平臺(tái)恢復(fù)重建；

　　

　　4、分鐘級(jí)快速恢復(fù)重建：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)采用“三級(jí)冷熱數(shù)據(jù)分級(jí)快速重建”的專利技術(shù)，實(shí)現(xiàn)用戶的業(yè)務(wù)系統(tǒng)整機(jī)在原機(jī)、異構(gòu)主機(jī)上快速重建，僅需數(shù)十分鐘即可實(shí)現(xiàn)災(zāi)難恢復(fù)，受災(zāi)的業(yè)務(wù)系統(tǒng)重新對(duì)外提供服務(wù)，保障業(yè)務(wù)連續(xù)性和降低負(fù)面社會(huì)影響。

　　

　　5、災(zāi)備系統(tǒng)驗(yàn)證快： 由于業(yè)務(wù)容災(zāi)系統(tǒng)的高可靠要求，對(duì)容災(zāi)系統(tǒng)的運(yùn)行效果需要保持固定頻率的驗(yàn)證，科力銳提供多種快速驗(yàn)證的方式，耗時(shí)從數(shù)十秒到幾分鐘不等，極大的提高了業(yè)務(wù)容災(zāi)解決方案的可靠性。

　　

　　6、災(zāi)備系統(tǒng)演練簡(jiǎn)單：科力銳業(yè)務(wù)容災(zāi)系統(tǒng)提供極簡(jiǎn)的災(zāi)難演練方案，只需要在任意主機(jī)上做快速恢復(fù)重建即可，無(wú)需暫停原有業(yè)務(wù)系統(tǒng)、無(wú)需協(xié)調(diào)第三方支持、無(wú)需配置同構(gòu)的演練環(huán)境，只需15分鐘即可在新的主機(jī)上完成災(zāi)難演練，提高組織的災(zāi)難應(yīng)急能力和業(yè)務(wù)容災(zāi)系統(tǒng)的可靠性。