2017年5月“WannaCry”勒索病毒全球爆發,據保守估計有超過150個國家至少30萬名用戶中招,造成損失達80億美元(約合人民幣555億元),開創了地下黑產的全新商業模式,從此打開了潘多拉魔盒勒索病毒持續的變種, WannaCry變種、GlobeImposter、Satan等病毒先后來襲。2018年初 GandCrab的病毒現身網絡,目前其最新版本已經更新到5.0,近期GandCrab5.0勒索病毒的傳播開始快速增長,不少Windows服務器上的文件被加密。
勒索機理
勒索病毒爆發后能不能通過數據恢復的方式、破解的方式找回被加密的文件,挽回或降低損失?這必須要了解勒索病毒加密機制,勒索病毒工作時采用對稱加密算法和非對稱加密算法兩種加密算法:對稱算法是來加密解密文件的,非對稱算法是來保存對稱算法的秘鑰的。
加密過程:
病毒首先在目標計算機隨機生成user-Public-key 和 user-Private-key,第二步將“user-Private-key ”+ “病毒作者Public-key”使用非對稱RSA算法加密生成加密后的“xxx-user-Private-key”。第三步隨機生成一個“AES-KEY”將“AES-KEY” + “user-Public-key”采用非對稱RSA算法加密得到加密后的“xxx-AES-KEY”,用于保證“AES-KEY”的絕對安全。最后再將“原始文件” + “AES-KEY ”使用 AES 加密算法加密成加密后的文件使客戶無法使用數據造成損失,進而勒索贖金。
解密過程:
病毒作者首先用“病毒作者Private-key”+“xxx-user-Private-key ”使用非對稱RSA算法解密得到“user-Private-key”。
在客戶計算機中,將“xxx-AES-KEY ”+ “user-Private-key”解密成最為關鍵的“AES-KEK”用解密出來的“AES-KEY ”對被加密的文件進行解密,得到用戶的原始文件。
理論上整個勒索的全程只有作者的“private-key”私鑰可以解密“xxx-user-Private-key,通過解密“xxx-user-Private-key文件得到“user-Private-key”,再用“user-Private-key”解密“xxx-AES-KEY ”得到關鍵的“AES-KEY ”實現對加密文件恢復。若想破解勒索病毒的加密獲得數據,縱觀整個勒索病毒加密工作的全程,關鍵的兩個是“AES-KEY”和病毒作者的“private-key”。
破解都是屬于概率極小的事件,稱之為“萬幸”也不為過,所以“應對勒索病毒,決不能有僥幸心理,必須構建最后一道防線”,幾個可能如下,:
1、隨機數“AES-KEY”是偽隨機被猜測出來,導致“AES-KEY”被破解出來;
2、“病毒作者的private-key”私鑰泄露,導致“AES-KEY”被破解出來;
3、弱秘鑰導致key1被暴力破解出來(正常情況下生成的 1024位 2048位 RSA密鑰,大多數時候都沒有這么長的有效位數,通過數學推導有機會可以暴力破解復雜度降低到 800位以下的密鑰(從公鑰推導出私鑰)但是成本太高)。
應對策略
應對勒索病毒的攻擊,任何的網絡安全的防范手段都不能保證百分百的安全,唯有數據備份與災難恢復能力建設是數據安全的最后一道防線,數據備份的RPO值決定業務系統遭受勒索后最小的數據損失量,災難恢復的復雜度和速度關乎到業務系統恢復的時間RTO和投入成本。但還需要關注以下風險和挑戰:
1、 僅保護數據,不夠完整:傳統數據備份產品只對最重要的文件、數據庫數據做保護,勒索病毒隨機的加密文件,加密到未備份的數據,依然會影響數據和應用系統的使用,同時缺乏對業務系統軟件生產環境的保護如操作系統、應用軟件、軟件配置和設置等軟件環境的保護,使得運維操作復雜、災難恢復復雜和恢復時間長;
2、 操作復雜,運維難:傳統數據備份方案在使用、運維時有眾多的前置條件,對主機類型、是否有虛擬化、業務結構、數據庫品牌、數據庫版本等等都有著各種限制和要求,甚至還需要編寫腳本進行維護、使用,對于非數據備份行業的專業人士挑戰極大,由于配置和操作導致數據備份系統不能正常運行的現象屢見不鮮;
3、 異構主機平臺兼容性差:對硬件適應性要求特別高,在同構的環境下才有可能恢復成功,對于現在用戶數據中心是虛擬化,物理主機、云主機、超融合平臺等混合型架構,異構環境的恢復是常態,異構兼容性差的傳統數據備份方案會遭遇很多困難,導致恢復不成功;
4、 恢復時間長,耗時以天為單位:傳統數據備份方案在數據恢復之前,需人工完成操作系統、業務系統、數據庫的安排、配置和調試,再導入備份的數據,耗費數天時間為常態。
5、 數據備份系統可靠性驗證難:由于數據備份、容災系統的高可靠要求,對該系統的運行效果需要保持固定頻率的驗證,數據備份廠商只做了數據庫里的數據保護,脫離生產環境的數據庫的驗證幾乎不可行,需要搭建同構的生產環境進行驗證時,需要軟件廠商、數據庫廠商的工程師到場投入大、耗時長。
科力銳整機災備保護/快速恢復方案,讓您擁有自主應對勒索病毒的災備系統運維、管理和應急恢復能力
隨著云時代的到來,科力銳云災備管理系統深刻理解云計算的“隨需所取,隨取所用”的本質和理念,提供“無關位置(本地異地)、無關主機類型(X86、虛擬化、超融合和云主機)、無關業務類型和結構、無關數據庫品牌和版本的隨處的系統級整機備份、容災、恢復、重建解決方案”,無任何前置條件、適應性強、操作簡單,應對各種應用停機事件、勒索病毒,CDP持續保護數據,快速重建技術實現分鐘級業務數據、整機快速回滾,保障數據安全和業務連續性!
科力銳優勢
科力銳,以讓災備更可靠、更快速、更簡單為使命,以客戶需求為根本,為用戶提供智動、簡單和高可靠的災備和災難恢復服務,為客戶輸送全生命周期的災備運維和管理能力。
1、整機保護業務系統(生產環境和數據):科力銳業務容災系統將客戶的業務系統軟件生產環境的保護如操作系統、應用軟件、軟件配置、設置等軟件環境的保護,還保護整機所有數據,防范任意的勒索病毒加密風險,且在日常運維的時候簡單、無需復雜配置,在災難恢復的時候可以實現自動全場景恢復,無需人工干預和無需第三方廠商到場支持,恢復時間短;
2、災備系統運維簡單:科力銳業務容災系統在使用、運維時無前置條件,對主機類型、是否有虛擬化、業務結構、數據庫品牌、數據庫版本等等都沒有各種限制和要求,全WEB操作實現:容災備份、驗證備份點可靠性、災難演練和恢復重建;
3、異構主機平臺兼容性強:對硬件適應性要求特別強,在異構的環境下可實現自動恢復成功,在用戶混合架構的數據中心(虛擬化,X86物理主機、云主機、超融合平臺等)異構環境下可實現用戶業務系統在異構主機平臺上自動跨平臺恢復重建;
4、分鐘級快速恢復重建:科力銳業務容災系統采用“三級冷熱數據分級快速重建”的專利技術,實現用戶的業務系統整機在原機、異構主機上快速重建,僅需數十分鐘即可實現災難恢復,受災的業務系統重新對外提供服務,保障業務連續性和降低負面社會影響。
5、災備系統驗證快: 由于業務容災系統的高可靠要求,對容災系統的運行效果需要保持固定頻率的驗證,科力銳提供多種快速驗證的方式,耗時從數十秒到幾分鐘不等,極大的提高了業務容災解決方案的可靠性。
6、災備系統演練簡單:科力銳業務容災系統提供極簡的災難演練方案,只需要在任意主機上做快速恢復重建即可,無需暫停原有業務系統、無需協調第三方支持、無需配置同構的演練環境,只需15分鐘即可在新的主機上完成災難演練,提高組織的災難應急能力和業務容災系統的可靠性。
