備份通常被認為是對付勒索病毒的一種防御機制。但是如果沒有正確實施，備份本身可能會被感染，從而使備份失效。為了防止這種情況的發生，有一個適當的應對勒索軟件的備份策略是很重要的。

現在大多數公司都使用基于追蹤塊變化的備份。如果一個存儲塊被修改了，那么這個塊就會被備份。但是如果發生了勒索病毒感染，那么勒索病毒造成的加密過程將被視為常規文件修改，然后新修改的文件將被備份。

[[215963]]

通過遵循一些最佳實踐指導原則，可以幫助你將勒索病毒從備份中排除。

備份不是你的第一道防線

基本的應對勒索病的毒備份規則是你不應該把備份作為第一道防線。雖然你的備份確實可以幫助你逆轉由勒索病毒造成的損害，但最好還是采取措施在第一時間避免發生勒索病毒感染，而不是在感染已經發生后還繼續進行備份。

至少，這意味著要在整個公司運行防病毒軟件并保持軟件更新。然而，即使是防病毒軟件，也不是完美的。這么多年來，雖然系統受到了反病毒軟件的保護，但是還是有很多病毒感染事件發生。在這種情況下，您可以考慮使用進程白名單，它禁止任何未經授權的進程在受保護的系統上運行。

檢查你的版本保留策略

對版本保留策略的檢查是應對勒索病毒備份策略的另一個重要方面。畢竟，如果你沒有辦法將文件恢復到未加密前的狀態，那么你的備份將沒有辦法應對勒索病毒的影響。表面上看，確保多個版本進行保留可能聽上去很荒謬，畢竟，幾乎任何現代備份產品都可以讓你將文件恢復到一個舊的版本。即使如此，仍然值得去考慮保留的文件版本和保留這些斑斑的時間長度，因為你可能并不不能馬上就知道感染已經發生了。

假設，一個用戶在公司桌面工作時意外觸發了一個勒索病毒的感染。取決于勒索病毒的設計方式，可能會是首先對存放在受感染設備上的文件進行加密，但很可能也會對映射的網絡驅動器中的文件進行加密。取決于用戶訪問的數據量大小，加密過程可能需要一段時間才能完成。

這種情況有趣的地方在于，用戶可能并不能馬上知道勒索軟件的感染已經發生了。從勒索軟件作者的角度來考慮:如果勒索軟件在加密之前或者在加密過程中告訴用戶數據被感染了，那么用戶就可以采取某種行動來限制感染的影響。另一方面，如果勒索病毒一直不告訴用戶感染的情況直到它對所有東西進行了加密，那么病毒對用戶的損害就已經發生了。

也有可能在IT部門發現感染之前還有更長的一段時間。想象一下，如果用戶試圖掩蓋他們系統被感染的事實，會發生什么情況。IT部門可能都沒有意識到感染已經發生直到其他人開始報告問題。

關鍵是你可能并不是馬上就知道受到了勒索病毒的攻擊，所以備份保留策略只保存最近的幾個版本，在幾個小時或者幾天前的將數據過期。理想的狀況是，一個勒索病毒應對的備份策略應當包含盡可能多的恢復點以便將從感染中恢復數據的機會最大化。

一定要用權宜之計

如果您正在執行基于磁盤的備份，而勒索病毒設法加密了你的整個備份目標，那么你將失去從勒索病毒的攻擊中進行恢復數據的能力。應對這種情況的一種方法是建立權宜機制。換句話說，你需要一個勒索病毒不能觸摸的備份。實現這一目標的唯一可靠方法是有一個與系統完全斷開連接的備份。

基于磁帶的備份是一個非常好的權宜之計，因為勒索病毒不可能感染到那些沒有放到磁帶驅動器中的磁帶。很明顯，基于磁帶的備份并不能提供基于磁盤的備份的優點，但是你也沒有理由放棄基于磁盤的備份，而支持磁帶。相反，您可以部署從磁盤到磁盤到磁帶的備份體系結構，它將可以定期的將你一磁盤為備份設備的備份內容復制到可以安全離線存儲的磁帶上。

當發生勒索病毒攻擊時，勒索病毒可能會加密你備份在存儲陣列的內容。即使它沒有加密這些數據，你也幾乎肯定會備份受到感染的文件。因此，讓勒索病毒遠離你的系統是非常重要的，并且如果一個勒索病毒攻擊已經發生，你要有一個合適的能應對勒索病毒的備份計劃能幫助你恢復數據。