2017年5月“WannaCry”勒索病毒全球爆發(fā),據(jù)保守估計有超過150個國家至少30萬名用戶中招,造成損失達80億美元(約合人民幣555億元),開創(chuàng)了地下黑產(chǎn)的全新商業(yè)模式,從此打開了潘多拉魔盒勒索病毒持續(xù)的變種, WannaCry變種、GlobeImposter、Satan等病毒先后來襲。2018年初 GandCrab的病毒現(xiàn)身網(wǎng)絡,目前其最新版本已經(jīng)更新到5.0,近期GandCrab5.0勒索病毒的傳播開始快速增長,不少Windows服務器上的文件被加密。
勒索機理
勒索病毒爆發(fā)后能不能通過數(shù)據(jù)恢復的方式、破解的方式找回被加密的文件,挽回或降低損失?這必須要了解勒索病毒加密機制,勒索病毒工作時采用對稱加密算法和非對稱加密算法兩種加密算法:對稱算法是來加密解密文件的,非對稱算法是來保存對稱算法的秘鑰的。
加密過程:
病毒首先在目標計算機隨機生成user-Public-key 和 user-Private-key,第二步將“user-Private-key ”+ “病毒作者Public-key”使用非對稱RSA算法加密生成加密后的“xxx-user-Private-key”。第三步隨機生成一個“AES-KEY”將“AES-KEY” + “user-Public-key”采用非對稱RSA算法加密得到加密后的“xxx-AES-KEY”,用于保證“AES-KEY”的絕對安全。最后再將“原始文件” + “AES-KEY ”使用 AES 加密算法加密成加密后的文件使客戶無法使用數(shù)據(jù)造成損失,進而勒索贖金。
解密過程:
病毒作者首先用“病毒作者Private-key”+“xxx-user-Private-key ”使用非對稱RSA算法解密得到“user-Private-key”。
在客戶計算機中,將“xxx-AES-KEY ”+ “user-Private-key”解密成最為關鍵的“AES-KEK”用解密出來的“AES-KEY ”對被加密的文件進行解密,得到用戶的原始文件。
理論上整個勒索的全程只有作者的“private-key”私鑰可以解密“xxx-user-Private-key,通過解密“xxx-user-Private-key文件得到“user-Private-key”,再用“user-Private-key”解密“xxx-AES-KEY ”得到關鍵的“AES-KEY ”實現(xiàn)對加密文件恢復。若想破解勒索病毒的加密獲得數(shù)據(jù),縱觀整個勒索病毒加密工作的全程,關鍵的兩個是“AES-KEY”和病毒作者的“private-key”。
破解都是屬于概率極小的事件,稱之為“萬幸”也不為過,所以“應對勒索病毒,決不能有僥幸心理,必須構建最后一道防線”,幾個可能如下,:
1、隨機數(shù)“AES-KEY”是偽隨機被猜測出來,導致“AES-KEY”被破解出來;
2、“病毒作者的private-key”私鑰泄露,導致“AES-KEY”被破解出來;
3、弱秘鑰導致key1被暴力破解出來(正常情況下生成的 1024位 2048位 RSA密鑰,大多數(shù)時候都沒有這么長的有效位數(shù),通過數(shù)學推導有機會可以暴力破解復雜度降低到 800位以下的密鑰(從公鑰推導出私鑰)但是成本太高)。
應對策略
應對勒索病毒的攻擊,任何的網(wǎng)絡安全的防范手段都不能保證百分百的安全,唯有數(shù)據(jù)備份與災難恢復能力建設是數(shù)據(jù)安全的最后一道防線,數(shù)據(jù)備份的RPO值決定業(yè)務系統(tǒng)遭受勒索后最小的數(shù)據(jù)損失量,災難恢復的復雜度和速度關乎到業(yè)務系統(tǒng)恢復的時間RTO和投入成本。但還需要關注以下風險和挑戰(zhàn):
1、 僅保護數(shù)據(jù),不夠完整:傳統(tǒng)數(shù)據(jù)備份產(chǎn)品只對最重要的文件、數(shù)據(jù)庫數(shù)據(jù)做保護,勒索病毒隨機的加密文件,加密到未備份的數(shù)據(jù),依然會影響數(shù)據(jù)和應用系統(tǒng)的使用,同時缺乏對業(yè)務系統(tǒng)軟件生產(chǎn)環(huán)境的保護如操作系統(tǒng)、應用軟件、軟件配置和設置等軟件環(huán)境的保護,使得運維操作復雜、災難恢復復雜和恢復時間長;
2、 操作復雜,運維難:傳統(tǒng)數(shù)據(jù)備份方案在使用、運維時有眾多的前置條件,對主機類型、是否有虛擬化、業(yè)務結構、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本等等都有著各種限制和要求,甚至還需要編寫腳本進行維護、使用,對于非數(shù)據(jù)備份行業(yè)的專業(yè)人士挑戰(zhàn)極大,由于配置和操作導致數(shù)據(jù)備份系統(tǒng)不能正常運行的現(xiàn)象屢見不鮮;
3、 異構主機平臺兼容性差:對硬件適應性要求特別高,在同構的環(huán)境下才有可能恢復成功,對于現(xiàn)在用戶數(shù)據(jù)中心是虛擬化,物理主機、云主機、超融合平臺等混合型架構,異構環(huán)境的恢復是常態(tài),異構兼容性差的傳統(tǒng)數(shù)據(jù)備份方案會遭遇很多困難,導致恢復不成功;
4、 恢復時間長,耗時以天為單位:傳統(tǒng)數(shù)據(jù)備份方案在數(shù)據(jù)恢復之前,需人工完成操作系統(tǒng)、業(yè)務系統(tǒng)、數(shù)據(jù)庫的安排、配置和調試,再導入備份的數(shù)據(jù),耗費數(shù)天時間為常態(tài)。
5、 數(shù)據(jù)備份系統(tǒng)可靠性驗證難:由于數(shù)據(jù)備份、容災系統(tǒng)的高可靠要求,對該系統(tǒng)的運行效果需要保持固定頻率的驗證,數(shù)據(jù)備份廠商只做了數(shù)據(jù)庫里的數(shù)據(jù)保護,脫離生產(chǎn)環(huán)境的數(shù)據(jù)庫的驗證幾乎不可行,需要搭建同構的生產(chǎn)環(huán)境進行驗證時,需要軟件廠商、數(shù)據(jù)庫廠商的工程師到場投入大、耗時長。
科力銳整機災備保護/快速恢復方案,讓您擁有自主應對勒索病毒的災備系統(tǒng)運維、管理和應急恢復能力
隨著云時代的到來,科力銳云災備管理系統(tǒng)深刻理解云計算的“隨需所取,隨取所用”的本質和理念,提供“無關位置(本地異地)、無關主機類型(X86、虛擬化、超融合和云主機)、無關業(yè)務類型和結構、無關數(shù)據(jù)庫品牌和版本的隨處的系統(tǒng)級整機備份、容災、恢復、重建解決方案”,無任何前置條件、適應性強、操作簡單,應對各種應用停機事件、勒索病毒,CDP持續(xù)保護數(shù)據(jù),快速重建技術實現(xiàn)分鐘級業(yè)務數(shù)據(jù)、整機快速回滾,保障數(shù)據(jù)安全和業(yè)務連續(xù)性!
科力銳優(yōu)勢
科力銳,以讓災備更可靠、更快速、更簡單為使命,以客戶需求為根本,為用戶提供智動、簡單和高可靠的災備和災難恢復服務,為客戶輸送全生命周期的災備運維和管理能力。
1、整機保護業(yè)務系統(tǒng)(生產(chǎn)環(huán)境和數(shù)據(jù)):科力銳業(yè)務容災系統(tǒng)將客戶的業(yè)務系統(tǒng)軟件生產(chǎn)環(huán)境的保護如操作系統(tǒng)、應用軟件、軟件配置、設置等軟件環(huán)境的保護,還保護整機所有數(shù)據(jù),防范任意的勒索病毒加密風險,且在日常運維的時候簡單、無需復雜配置,在災難恢復的時候可以實現(xiàn)自動全場景恢復,無需人工干預和無需第三方廠商到場支持,恢復時間短;
2、災備系統(tǒng)運維簡單:科力銳業(yè)務容災系統(tǒng)在使用、運維時無前置條件,對主機類型、是否有虛擬化、業(yè)務結構、數(shù)據(jù)庫品牌、數(shù)據(jù)庫版本等等都沒有各種限制和要求,全WEB操作實現(xiàn):容災備份、驗證備份點可靠性、災難演練和恢復重建;
3、異構主機平臺兼容性強:對硬件適應性要求特別強,在異構的環(huán)境下可實現(xiàn)自動恢復成功,在用戶混合架構的數(shù)據(jù)中心(虛擬化,X86物理主機、云主機、超融合平臺等)異構環(huán)境下可實現(xiàn)用戶業(yè)務系統(tǒng)在異構主機平臺上自動跨平臺恢復重建;
4、分鐘級快速恢復重建:科力銳業(yè)務容災系統(tǒng)采用“三級冷熱數(shù)據(jù)分級快速重建”的專利技術,實現(xiàn)用戶的業(yè)務系統(tǒng)整機在原機、異構主機上快速重建,僅需數(shù)十分鐘即可實現(xiàn)災難恢復,受災的業(yè)務系統(tǒng)重新對外提供服務,保障業(yè)務連續(xù)性和降低負面社會影響。
5、災備系統(tǒng)驗證快: 由于業(yè)務容災系統(tǒng)的高可靠要求,對容災系統(tǒng)的運行效果需要保持固定頻率的驗證,科力銳提供多種快速驗證的方式,耗時從數(shù)十秒到幾分鐘不等,極大的提高了業(yè)務容災解決方案的可靠性。
6、災備系統(tǒng)演練簡單:科力銳業(yè)務容災系統(tǒng)提供極簡的災難演練方案,只需要在任意主機上做快速恢復重建即可,無需暫停原有業(yè)務系統(tǒng)、無需協(xié)調第三方支持、無需配置同構的演練環(huán)境,只需15分鐘即可在新的主機上完成災難演練,提高組織的災難應急能力和業(yè)務容災系統(tǒng)的可靠性。
