今年3月15日，小岑博客（目前網(wǎng)站已無法訪問）發(fā)表文章稱其 VMware vSphere 集群中的虛擬機被加密，導(dǎo)致大量虛擬機癱瘓。

根據(jù)博主的描述，本次事件受影響的是 Windows 和 vSphere，這意味著虛擬機系統(tǒng)底層也被勒索病毒盯上了。

實際上，針對 VMware vSphere 系統(tǒng)漏洞的攻擊已在今年2月發(fā)生過，勒索軟件團隊通過 “RansomExx” 病毒，利用 VMware ESXi 產(chǎn)品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬盤的文件進行加密。

“RansomExx” 病毒早在去年10 月就被發(fā)現(xiàn)非法入侵企業(yè)的網(wǎng)絡(luò)設(shè)備，并攻擊本地的 ESXi 實例，進而加密其虛擬硬盤中的文件。由于該實例用于存儲來自多個虛擬機的數(shù)據(jù)，因此對企業(yè)造成了巨大的破壞。

目前為止，暫未有其他虛擬化平臺用戶發(fā)現(xiàn)被勒索病毒攻擊的情況發(fā)生。但是，眾所周知，ESXi 系統(tǒng)也是基于 linux 底層進行定制，所以，理論上勒索病毒在其他虛擬化平臺也有攻擊的可能。只是此次發(fā)生的情況，可能跟 VMware 本身的漏洞有關(guān)。所以，VMware 用戶還請?zhí)岣呔琛?/span>

根據(jù)已有 VMware 勒索事件發(fā)現(xiàn)，黑客利用 VMware ESXi 管理程序漏洞對虛擬機進行加密。Carbon Spider 和 Sprite Spider 這兩個團伙專門攻擊 ESXi 虛擬機管理程序，發(fā)動大規(guī)模的勒索病毒活動（又叫大型目標(biāo)狩獵，BGH）。

他們通過 vCenter Web 登錄信息攻擊 ESXi 系統(tǒng)，可控制多個 ESXi 設(shè)備的集中式服務(wù)器，連接到 vCenter 后，黑客使 SSH 能夠?qū)?ESXi 設(shè)備進行持久訪問，并更改 root 密碼或主機的 SSH 密鑰，與此同時植入 Darkside 勒索病毒，達成目的。

上個月底 VMware 也發(fā)布了一份安全公告，對其虛擬化產(chǎn)品中的三個高危漏洞打上了補丁，這包括 ESXi 裸機虛擬機管理程序中的堆緩沖區(qū)溢出漏洞，以及 vCenter Server 的底層操作系統(tǒng)漏洞。

01

針對虛擬化平臺的攻擊，我們應(yīng)該如何防范呢？

原博主的處理方式實際上就是兩種：

1.通過之前的存儲快照進行恢復(fù)；

2. 通過之前的虛擬機整機備份集進行恢復(fù)（虛擬機快照文件已經(jīng)被加密，無法恢復(fù)）。

所以從他們的解決方式可以看出來：數(shù)據(jù)災(zāi)備才是最有效的安全保障。

02

如何對虛擬化機進行備份，以及針對關(guān)鍵虛擬機進行容災(zāi)？

1、虛擬化集中式備份

鼎甲迪備，支持 VMware 無代理備份及有代理備份，傳輸模式支持 LAN 和 SAN，可做到虛擬機整機恢復(fù)、單盤恢復(fù)、單文件恢復(fù)。

同時支持增量備份、差異備份等多種備份方式，大幅度提升單位時間內(nèi)的備份次數(shù)，以有效降低備份的 RPO 值減少企業(yè)的損失。

2、海量虛擬機環(huán)境

鼎甲迪備可以在虛擬機數(shù)量巨大、虛擬化平臺結(jié)構(gòu)龐大，甚至跨越多個 vCenter 等情況下，實現(xiàn)跨 vCenter 的備份和恢復(fù)。

透過虛擬機整機永久增量備份技術(shù)，讓備份時間窗口不再煩擾。

備份數(shù)據(jù)的高效重復(fù)數(shù)據(jù)刪除，讓備份數(shù)據(jù)的存儲空間不再占用大量的預(yù)算。鼎甲迪備的重復(fù)數(shù)據(jù)刪除比例高達80-90%。

3、核心數(shù)據(jù)庫備份

鼎甲迪備不但可以備份虛擬機，還可以通過安裝 Agent 的方式，將虛擬機內(nèi)部的數(shù)據(jù)庫進行備份。鼎甲迪備的連續(xù)日志備份技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)庫的物理在線備份和日志備份，其恢復(fù)顆粒度可達事務(wù)級，如 Oracle 的一個 SCN 號或 MySQL 的一個 GTID 。

4、二級冷備

在線備份解決的是快速高效的備份和恢復(fù)，而二級冷備則解決了數(shù)據(jù)級的多副本容災(zāi)問題，二級冷備可通過磁帶庫、異地物理節(jié)點傳輸、對象存儲、藍光光盤塔等方式實現(xiàn)，讓數(shù)據(jù)高枕無憂。

鼎甲作為國內(nèi)領(lǐng)先的數(shù)據(jù)保護產(chǎn)品提供商，面向傳統(tǒng)數(shù)據(jù)中心、云計算、大數(shù)據(jù)三大場景，為客戶提供包括數(shù)據(jù)保護、數(shù)據(jù)副本管理、多云數(shù)據(jù)管理、數(shù)據(jù)存儲等產(chǎn)品和服務(wù)，業(yè)務(wù)已覆蓋政府、金融、運營商、能源、醫(yī)療、教育等關(guān)鍵領(lǐng)域行業(yè)，深得客戶認(rèn)可。

如今，鼎甲已憑借自研的數(shù)據(jù)保護系列產(chǎn)品，成功服務(wù)于數(shù)字廣東、數(shù)字福建、數(shù)字河南、廣東電信、廣東郵政、上海政務(wù)云等眾多客戶，提供全面的數(shù)據(jù)保護解決方案。根據(jù)國際權(quán)威調(diào)研機構(gòu) IDC 近年的市場分析報告顯示，鼎甲已連續(xù)三年（2018、2019、2020H1）奪得災(zāi)備一體機市場中國品牌第一名。

03

最后，一些對付勒索病毒的建議

1、要備份；

2、天天備份；

3、備份的備份。