背景
GlobeImposter勒索病毒从2017年出现,持续活跃至今。
图. 令人谈虎色变的勒索病毒事件
最新3.0版本会将文件加密后,改为动物名+4444这样的后缀,例如Tiger4444、Horse4444等。
3.0版本除了原本具备的攻击手法丰富之外,最蛋疼的是对公钥也进行了加密,相比之前公钥写死在代码中可以被扒出来相比,现在感染病毒只能从作者获得公钥后才能解密,制作免费解密工具的难度进一步提高。
病毒不断升级换代,即便本次消灭了3.0 ,日后难保不会出现4.0、5.0等。相比与之不断斗智斗勇,合理的安全策略无疑才是上上之策。
敌军围困万千重,我自威然不动。 早已森严壁垒,更加众志成城 。
--毛泽东《西江月·井岗山》 一九二八年秋
做好安全防护
安全防护问题是老生常谈了,这里不展开讨论,总结下来无非就是:
1. 关闭无用端口和服务。此次病毒传播途径主要通过3389端口,通过RDP远程桌面;以及445端口,通过Samba服务传播。建议关闭相应端口,或提高安全配置,例如禁止Samba中运行可执行文件;
2. 及时升级软件和补丁。Samba 3.5.0 ~ 4.6.4之间的版本均会受到影响,官方已经发布了补丁版本,建议尽快升级;
3. 谨慎使用U盘等移动设备,及时隔离受感染服务器。
做好数据备份
若是应用程序感染了病毒,例如Nginx,Tomcat等,最坏的情况无非是重装而已,影响有限。但作为重中之重的数据库,一旦数据库文件发生感染,后果是灾难性的。
由于勒索病毒直接感染文件,因此常规备份也有可能将病毒带入备份文件,导致发现感染后近期的备份均无法使用。
常规备份不靠谱,CDP备份来救场!
QBackup数据库备份一体机所具备的沙盒机制,可以从根本上有效杜绝勒索病毒的侵蚀。
沙箱机制
QBackup所创建的历史数据库环境,无论用于恢复,还是用于开发测试,均运行在独立的沙箱环境中。一旦数据库内发生感染,仅需将沙箱环境删除,再次从模板创建即可。得益于CDM机制无需拷贝数据,创建一个独立可访问的历史数据库沙箱环境仅需要几分钟,几乎没有时间和空间成本。
模板机制天然防护
QBackup的数据库环境,例如OS,数据软件,数据文件等,均基于模板创建。而模板本身是只读无法修改的,并且隐藏于存储池当中,平时根本不以文件形式展现,因此勒索病毒完全无处下口。
恢复精度高
CDP备份在于其强大的恢复机制,QBackup数据库备份一体机可以恢复至历史数据的任意1秒,保障数据安全、减少业务中断时间。
QBackup是一套集合了CDP备份,历史数据秒级恢复,灾备保护等功能的一体化云平台。支持主流的Oracle、MySQL数据库,可同时对大量数据库做集中式备份和管理,并对备份进行持续校验以确保数据的可恢复性。此外,QBackup还可用于应用测试、预发布、性能优化,POC等诸多应用场景。