如何防止勒索病毒侵害数据

近期，全球医疗、教育、金融、科技等重点行业企业相继遭受勒索病毒攻击，引发企业业务停滞、工厂停产等严重后果，如对英国北方铁路公司自助售票系统的攻击导致企业售票网络瘫痪、对巴西肉类加工巨头 JBS 的攻击导致企业在澳全部肉类加工厂停运等。

勒索病毒主要通过钓鱼邮件、网页挂马等形式传播，或利用漏洞、远程桌面入侵等发起攻击，植入勒索病毒并实施勒索行为。以 WannaCry病毒为代表，其通过加密算法加密用户文件后直接把原始文件删除，然后要求受害者以比特币来支付赎金，以隐蔽真实身份。但实际情况是即使支付赎金往往也无法获取解密私钥，因为对于攻击者而言，收到赎金后发送私钥的行为有暴露自己身份的风险。

为了避免数据遭受毁灭性破坏，最有效的方式是对数据进行集中管理，定期增量备份到远程主机，对于备份机需要进行一定的安全防护，如：开启病毒实时防护软件，设置系统登录密码，避免随意下载和运行不明软件程序。这样一旦服务器遭受勒索病毒攻击，可以使用远程机的备份来恢复数据，如下图：

当悦库服务器被勒索病毒感染后，所有文件会被恶意加密。在服务端每日备份程序启动时，备份安全过滤程序可以有效识别备份原文件是否合法，如果文件被恶意加密则拒绝备份，避免使用被恶意加密的文件覆盖现有的有效数据。

主机感染病毒后，使用如下方法并不能完全清除勒索病毒:

• 杀毒软件全盘扫描检测。由于某些新型未知勒索病毒具有一定的免疫能力，因此检测结果并不可信。
• 重新安装操作系统。安装系统默认只会清理C盘数据，其他分区数据依然存在，新系统启动后，如果执行了其他分区中已感染的文件病毒程序依然会被唤醒。

更彻底的方法是重装系统并在安装系统执行之前格式化所有硬盘分区。

在确认清除服务器中的病毒后，就可以重新安装悦库服务端，然后将通过远程连接恢复所有数据。