今年3月15日，小岑博客（目前網(wǎng)站已無法訪問）發(fā)表文章稱其 VMware vSphere 集群中的虛擬機(jī)被加密，導(dǎo)致大量虛擬機(jī)癱瘓。

根據(jù)博主的描述，本次事件受影響的是 Windows 和 vSphere，這意味著虛擬機(jī)系統(tǒng)底層也被勒索病毒盯上了。

實(shí)際上，針對(duì) VMware vSphere 系統(tǒng)漏洞的攻擊已在今年2月發(fā)生過，勒索軟件團(tuán)隊(duì)通過 “RansomExx” 病毒，利用 VMware ESXi 產(chǎn)品中的漏洞（CVE-2019-5544、CVE-2020-3992），對(duì)虛擬硬盤的文件進(jìn)行加密。

“RansomExx” 病毒早在去年10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備，并攻擊本地的 ESXi 實(shí)例，進(jìn)而加密其虛擬硬盤中的文件。由于該實(shí)例用于存儲(chǔ)來自多個(gè)虛擬機(jī)的數(shù)據(jù)，因此對(duì)企業(yè)造成了巨大的破壞。

目前為止，暫未有其他虛擬化平臺(tái)用戶發(fā)現(xiàn)被勒索病毒攻擊的情況發(fā)生。但是，眾所周知，ESXi 系統(tǒng)也是基于 linux 底層進(jìn)行定制，所以，理論上勒索病毒在其他虛擬化平臺(tái)也有攻擊的可能。只是此次發(fā)生的情況，可能跟 VMware 本身的漏洞有關(guān)。所以，VMware 用戶還請(qǐng)?zhí)岣呔琛?/span>

根據(jù)已有 VMware 勒索事件發(fā)現(xiàn)，黑客利用 VMware ESXi 管理程序漏洞對(duì)虛擬機(jī)進(jìn)行加密。Carbon Spider 和 Sprite Spider 這兩個(gè)團(tuán)伙專門攻擊 ESXi 虛擬機(jī)管理程序，發(fā)動(dòng)大規(guī)模的勒索病毒活動(dòng)（又叫大型目標(biāo)狩獵，BGH）。

他們通過 vCenter Web 登錄信息攻擊 ESXi 系統(tǒng)，可控制多個(gè) ESXi 設(shè)備的集中式服務(wù)器，連接到 vCenter 后，黑客使 SSH 能夠?qū)?ESXi 設(shè)備進(jìn)行持久訪問，并更改 root 密碼或主機(jī)的 SSH 密鑰，與此同時(shí)植入 Darkside 勒索病毒，達(dá)成目的。

上個(gè)月底 VMware 也發(fā)布了一份安全公告，對(duì)其虛擬化產(chǎn)品中的三個(gè)高危漏洞打上了補(bǔ)丁，這包括 ESXi 裸機(jī)虛擬機(jī)管理程序中的堆緩沖區(qū)溢出漏洞，以及 vCenter Server 的底層操作系統(tǒng)漏洞。

01

針對(duì)虛擬化平臺(tái)的攻擊，我們應(yīng)該如何防范呢？

原博主的處理方式實(shí)際上就是兩種：

1.通過之前的存儲(chǔ)快照進(jìn)行恢復(fù)；

2. 通過之前的虛擬機(jī)整機(jī)備份集進(jìn)行恢復(fù)（虛擬機(jī)快照文件已經(jīng)被加密，無法恢復(fù)）。

所以從他們的解決方式可以看出來：數(shù)據(jù)災(zāi)備才是最有效的安全保障。

02

如何對(duì)虛擬化機(jī)進(jìn)行備份，以及針對(duì)關(guān)鍵虛擬機(jī)進(jìn)行容災(zāi)？

1、虛擬化集中式備份

鼎甲迪備，支持 VMware 無代理備份及有代理備份，傳輸模式支持 LAN 和 SAN，可做到虛擬機(jī)整機(jī)恢復(fù)、單盤恢復(fù)、單文件恢復(fù)。

同時(shí)支持增量備份、差異備份等多種備份方式，大幅度提升單位時(shí)間內(nèi)的備份次數(shù)，以有效降低備份的 RPO 值減少企業(yè)的損失。

2、海量虛擬機(jī)環(huán)境

鼎甲迪備可以在虛擬機(jī)數(shù)量巨大、虛擬化平臺(tái)結(jié)構(gòu)龐大，甚至跨越多個(gè) vCenter 等情況下，實(shí)現(xiàn)跨 vCenter 的備份和恢復(fù)。

透過虛擬機(jī)整機(jī)永久增量備份技術(shù)，讓備份時(shí)間窗口不再煩擾。

備份數(shù)據(jù)的高效重復(fù)數(shù)據(jù)刪除，讓備份數(shù)據(jù)的存儲(chǔ)空間不再占用大量的預(yù)算。鼎甲迪備的重復(fù)數(shù)據(jù)刪除比例高達(dá)80-90%。

3、核心數(shù)據(jù)庫備份

鼎甲迪備不但可以備份虛擬機(jī)，還可以通過安裝 Agent 的方式，將虛擬機(jī)內(nèi)部的數(shù)據(jù)庫進(jìn)行備份。鼎甲迪備的連續(xù)日志備份技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)庫的物理在線備份和日志備份，其恢復(fù)顆粒度可達(dá)事務(wù)級(jí)，如 Oracle 的一個(gè) SCN 號(hào)或 MySQL 的一個(gè) GTID 。

4、二級(jí)冷備

在線備份解決的是快速高效的備份和恢復(fù)，而二級(jí)冷備則解決了數(shù)據(jù)級(jí)的多副本容災(zāi)問題，二級(jí)冷備可通過磁帶庫、異地物理節(jié)點(diǎn)傳輸、對(duì)象存儲(chǔ)、藍(lán)光光盤塔等方式實(shí)現(xiàn)，讓數(shù)據(jù)高枕無憂。

鼎甲作為國(guó)內(nèi)領(lǐng)先的數(shù)據(jù)保護(hù)產(chǎn)品提供商，面向傳統(tǒng)數(shù)據(jù)中心、云計(jì)算、大數(shù)據(jù)三大場(chǎng)景，為客戶提供包括數(shù)據(jù)保護(hù)、數(shù)據(jù)副本管理、多云數(shù)據(jù)管理、數(shù)據(jù)存儲(chǔ)等產(chǎn)品和服務(wù)，業(yè)務(wù)已覆蓋政府、金融、運(yùn)營(yíng)商、能源、醫(yī)療、教育等關(guān)鍵領(lǐng)域行業(yè)，深得客戶認(rèn)可。

如今，鼎甲已憑借自研的數(shù)據(jù)保護(hù)系列產(chǎn)品，成功服務(wù)于數(shù)字廣東、數(shù)字福建、數(shù)字河南、廣東電信、廣東郵政、上海政務(wù)云等眾多客戶，提供全面的數(shù)據(jù)保護(hù)解決方案。根據(jù)國(guó)際權(quán)威調(diào)研機(jī)構(gòu) IDC 近年的市場(chǎng)分析報(bào)告顯示，鼎甲已連續(xù)三年（2018、2019、2020H1）奪得災(zāi)備一體機(jī)市場(chǎng)中國(guó)品牌第一名。

03

最后，一些對(duì)付勒索病毒的建議

1、要備份；

2、天天備份；

3、備份的備份。