2017年5月12日,臭名昭著的勒索病毒永恒之蓝WannaCry利用139、445等端口存在的协议漏洞入侵了主机系统,并将主机上包括图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件加密成后缀名为“.WNCRY”的文件,这种加密方式采用的是更复杂的RSA加密方式,并且密钥大小不断增加,导致至今没有一个有效的解密方法。一时间,哀鸿遍野。
其实,勒索病毒远没有看上去的那么可怕,寄希望于通过支付勒索赎金获得密钥也仅仅是下下之策。更为有效的方式,其实是建立一套完整的数据持续保护(CDP)系统,通过数据的快速恢复让黑客的邪恶用心落空。亡羊而补牢,未为迟也。
WannaCry只是勒索病毒中的一种,在专业技术团队的世界里,无论是哪种勒索病毒,其实都有一定的应对之策。例如,对于被勒索病毒加密的文件,如果解不了密,可以采用恢复备份数据的方法,如利用真CDP恢复。
英方自主研发的字节级CDP技术已经成为行业的标配,拥有自主核心技术,成功应用在火箭军、浙江省检察院、河北公安消防总队、国金证券、中原地产等项目中,并且获得全国各地合作伙伴的信赖,福建意德信息技术有限公司(以下简称福建意德)便是其中一个。
福建意德在信息技术领域拥有众多品牌解决方案,在CDP技术方案中,福建意德采用英方真CDP方案,已经为区域用户构建起信息安全的最后一道防线。双方为了测试英方真CDP技术在病毒感染后数据库中数据恢复的表现,英方工程师刘东昌联合福建意德在真实生产环境中进行了WannaCry病毒测试恢复的演练。
测试效果如何,WannaCry勒索病毒是否造成生产库数据丢失,请看下文的详细测试过程。
点击链接,观看操作详情:https://v.qq.com/x/page/k3233kyaasb.html
【测试目的】
本次测试主要是用于验证生产机通过部署英方i2CDP软件进行实时备份后,工程师主动释放勒索病毒到生产机模拟生产机中毒,以检验数据能否通过i2CDP恢复,能否最大化的减少数据的丢失量。
【评判标准】
当释放病毒进行原数据库感染后,如果通过i2CDP回滚操作,在新的Oracle数据库中能够执行查询等操作,证明数据恢复成功。
【安全告知】
病毒感染测试,安全第一。测试环境需要满足端口开放,病毒释放和独立安全的虚拟机空间等条件,确保WannaCry病毒在恢复测试时安全可控,不会波及到其他IT系统和文件。因此,请各位专业人士严格按照安全规定进行,结束后销毁虚拟机和病毒。
【测试环境】
测试流程和软件配置如下。
例如,本次测试环境如下——
※操作系统版本
生产库:Windows server2008_R2、oracle 11g
备份主机:CentOS 6.4
备用库:Windows server2008_R2、 oracle 11g
※安装包准备
控制台:info2soft-ctrlcenter-6.1-21441.exe
节点:info2soft-i2node-6.1-21441.x86_64.exe
※测试数据准备——Oracle数据库数据
【测试场景及步骤】
场景——模拟生产库中WannaCry病毒恢复。
步骤如下图。
【释放病毒感染】
在安全空间释放WannaCry勒索病毒之后,很快就接收到了文件被感染后的勒索对话框,提示文件已被加密,提示支付虚拟货币以解密你的重要文件。
【CDP任意恢复】
文件被感染之后,工程师通过英方i2CDP进行数据恢复之后,在新的数据库中随机选取两个时间点对数据库进行查询,查询结果如下。
结果验证1(15:10:38秒)——左边为回滚规则,右边为恢复完数据后的查询结果。
结果验证2(15:48:58秒)——左边为回滚规则,右边为恢复完数据后的查询结果。
※两次查询都能顺利进行,证明恢复到新数据库的数据可用,恢复成功!
【测试结论】
根据本次工程师现场的测试结果,可以明确得出如下结论:
其一:通过英方真CDP可有效保护数据,在客户数据感染勒索病毒后,可通过i2CDP进行恢复。
其二:通过英方真CDP几乎不丢失任何数据,可将数据恢复至中病毒前任意时间点,精确到微秒级。
下面是针对WannaCry病毒攻击MySQL数据库后进行CDP恢复的测试视频链接。
另外,针对非数据库数据的恢复(如独立桌面文件),根据勒索病毒是加密后进行源文件删除的特点,英方真CDP还能够通过找回被删除的原文件进行秒级恢复,并且不要定位感染时间。
你是不是也想要试一试英方真CDP产品?
从现在起,我们将为专业技术人员提供英方真CDP产品的10个免费测试License。欢迎大家通过以下方式获取英方免费CDP测试License。
1—登陆英方官网http://www.info2soft.com
2—拨打咨询电话4006178601
3— 发送邮件至marketing@info2soft.com
名额有限,先到先得。
关于WannaCry
WannaCry是一种“蠕虫式”的勒索病毒软件,大小3.3MB,由不法分子利用NSA(美国国家安全局)泄露的危险漏洞“EternalBlue”(永恒之蓝)进行传播。造成100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。中国部分Windows操作系统用户遭受感染,校园网用户首当其冲,受害严重,大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库文件被加密后无法正常工作,影响巨大。
推荐阅读