虚拟化也逃不过“勒索”的魔掌——吗？

今年3月15日，小岑博客（目前网站已无法访问）发表文章称其 VMware vSphere 集群中的虚拟机被加密，导致大量虚拟机瘫痪。

根据博主的描述，本次事件受影响的是 Windows 和 vSphere，这意味着虚拟机系统底层也被勒索病毒盯上了。

实际上，针对 VMware vSphere 系统漏洞的攻击已在今年2月发生过，勒索软件团队通过 “RansomExx” 病毒，利用 VMware ESXi 产品中的漏洞（CVE-2019-5544、CVE-2020-3992），对虚拟硬盘的文件进行加密。

“RansomExx” 病毒早在去年10 月就被发现非法入侵企业的网络设备，并攻击本地的 ESXi 实例，进而加密其虚拟硬盘中的文件。由于该实例用于存储来自多个虚拟机的数据，因此对企业造成了巨大的破坏。

目前为止，暂未有其他虚拟化平台用户发现被勒索病毒攻击的情况发生。但是，众所周知，ESXi 系统也是基于 linux 底层进行定制，所以，理论上勒索病毒在其他虚拟化平台也有攻击的可能。只是此次发生的情况，可能跟 VMware 本身的漏洞有关。所以，VMware 用户还请提高警惕。

根据已有 VMware 勒索事件发现，黑客利用 VMware ESXi 管理程序漏洞对虚拟机进行加密。Carbon Spider 和 Sprite Spider 这两个团伙专门攻击 ESXi 虚拟机管理程序，发动大规模的勒索病毒活动（又叫大型目标狩猎，BGH）。

他们通过 vCenter Web 登录信息攻击 ESXi 系统，可控制多个 ESXi 设备的集中式服务器，连接到 vCenter 后，黑客使 SSH 能够对 ESXi 设备进行持久访问，并更改 root 密码或主机的 SSH 密钥，与此同时植入 Darkside 勒索病毒，达成目的。

上个月底 VMware 也发布了一份安全公告，对其虚拟化产品中的三个高危漏洞打上了补丁，这包括 ESXi 裸机虚拟机管理程序中的堆缓冲区溢出漏洞，以及 vCenter Server 的底层操作系统漏洞。

01

针对虚拟化平台的攻击，我们应该如何防范呢？

原博主的处理方式实际上就是两种：

1.通过之前的存储快照进行恢复；

2. 通过之前的虚拟机整机备份集进行恢复（虚拟机快照文件已经被加密，无法恢复）。

所以从他们的解决方式可以看出来：数据灾备才是最有效的安全保障。

02

如何对虚拟化机进行备份，以及针对关键虚拟机进行容灾？

1、虚拟化集中式备份

鼎甲迪备，支持 VMware 无代理备份及有代理备份，传输模式支持 LAN 和 SAN，可做到虚拟机整机恢复、单盘恢复、单文件恢复。

同时支持增量备份、差异备份等多种备份方式，大幅度提升单位时间内的备份次数，以有效降低备份的 RPO 值减少企业的损失。

2、海量虚拟机环境

鼎甲迪备可以在虚拟机数量巨大、虚拟化平台结构庞大，甚至跨越多个 vCenter 等情况下，实现跨 vCenter 的备份和恢复。

透过虚拟机整机永久增量备份技术，让备份时间窗口不再烦扰。

备份数据的高效重复数据删除，让备份数据的存储空间不再占用大量的预算。鼎甲迪备的重复数据删除比例高达80-90%。

3、核心数据库备份

鼎甲迪备不但可以备份虚拟机，还可以通过安装 Agent 的方式，将虚拟机内部的数据库进行备份。鼎甲迪备的连续日志备份技术能够实现数据库的物理在线备份和日志备份，其恢复颗粒度可达事务级，如 Oracle 的一个 SCN 号或 MySQL 的一个 GTID 。

4、二级冷备

在线备份解决的是快速高效的备份和恢复，而二级冷备则解决了数据级的多副本容灾问题，二级冷备可通过磁带库、异地物理节点传输、对象存储、蓝光光盘塔等方式实现，让数据高枕无忧。

鼎甲作为国内领先的数据保护产品提供商，面向传统数据中心、云计算、大数据三大场景，为客户提供包括数据保护、数据副本管理、多云数据管理、数据存储等产品和服务，业务已覆盖政府、金融、运营商、能源、医疗、教育等关键领域行业，深得客户认可。

如今，鼎甲已凭借自研的数据保护系列产品，成功服务于数字广东、数字福建、数字河南、广东电信、广东邮政、上海政务云等众多客户，提供全面的数据保护解决方案。根据国际权威调研机构 IDC 近年的市场分析报告显示，鼎甲已连续三年（2018、2019、2020H1）夺得灾备一体机市场中国品牌第一名。

03

最后，一些对付勒索病毒的建议

1、要备份；

2、天天备份；

3、备份的备份。