2023年11月28日发(作者:)

NAS中了勒索病毒怎么办?快照帮你快速恢复数据

勒索病毒攻击态势频繁,给各⾏各业都带来了很⼤的影响。据报道,近⽇有⿊客采⽤名为DeadBolt的勒索软件,通过利

⽤伪装的NAS登录页骗取管理员密码,随后对⽂件进⾏加密勒索,每个⽂件尾部都会加密成deadb后缀。

不少企业⾯对勒索病毒并没有实施强⽽有效的防范措施,可能只为数据建⽴了备份保护,但没有进⼀步建⽴容灾。⽽⼀

旦发⽣意外故障或被病毒加密⼤量⽂件时,很难快速恢复数据,因此可能就会导致关键业务停⽌过长时间,从⽽产⽣巨

⼤损失。

群晖Snapshot Replication快照与复制,由于能锁定快照时间点数据的完整状态,所以被快照保留的数据不会通过 SMB

等⽂件协议被病毒修改或加密,这也是为什么快照能够有效抵御勒索病毒的原因。同时其还原效率相对⾼效,对企业在

线业务来说,可以减少因意外状况⽽导致业务停⽌的时间。

通过群晖Snapshot快照可实时保护共享⽂件夹,最快每5分钟拍摄⼀次快照。当遭遇到勒索病毒攻击时,使⽤

Snapshot将被锁定的⽂件恢复到先前快照点,并且已经被快照保留的历史⽂件及⽂件夹,⽆法在SMB等⽂件协议访问

时被病毒修改或锁定。

牢记群晖应对勒索病毒三步法··,断:断开⽹线等所有外部连接⽅式,切断勒索病毒扩散。舍:舍去已被勒索病

毒锁定的⽂件或操作系统,以防⽌之后的⼆次感染蔓延。回:通过群晖Drive企业云盘功能、群晖ABB整机备份功能恢

复丢失的⽂件或发⽣故障的操作系统,并通过Snapshot快照恢复被病毒攻击的⽂件。

不少企业会使⽤到IP SAN⽅案,在群晖服务器上建⽴iSCSI LUN,为前端服务器进⾏扩容,或直接把虚拟机建⽴在群

iSCSI LUN的空间中。

当虚拟机建⽴在群晖iSCSI LUN空间中时,虚拟机的系统和数据都保存在群晖服务器中,⽽Snapshot还⽀持对iSCSI

LUN的快照保护,最快每5分钟拍摄⼀次快照。当虚拟机发⽣意外故障,可以通过恢复iSCSI LUN到先前快照点,来恢

复虚拟机的运⾏。

存储空间占⽤少

很多⽤户会担⼼对共享⽂件夹和 iSCSI LUN定期拍摄快照会不会占⽤⼤量存储空间,群晖Snapshot拍摄的快照只会保

留当下数据块的状态,所以快照只占⽤很少存储空间容量。⽽通过计算共享⽂件夹的快照容量还能实时了解快照⼤⼩,

从⽽提⾼空间利⽤率。

通过计算快照⼤⼩,可以看到上图中共享⽂件夹的快照容量远远⼩于整个⽂件夹的容量。

需要注意的是,修改的⽂件越多,则快照所占⽤的容量也会越多。群晖对于快照版本保留提供轮换策略,在设置保留版

本时,可以勾选⾼级保留规则,避免快照版本太多⽽占⽤过多容量,并且群晖提供精确到⼩时的灵活保留策略。⽽对于

【还原】设置在Snapshot Replication操作界⾯的左边⼯具栏,还原操作简洁直观。

⽽对于想还原单个⽂件夹或⽂件的,选择想要还原的快照版本,点击【浏览】,定位要还原的单个⽂件,复制到还原⽬

的地即可。

在还原过程中,由于会⾃动开启让快照可见,所以当完成单个⽂件还原后,建议取消勾选【让快照可见】,以避免普通

⽤户可进⾏浏览,发⽣误删等情况。

另外除了可以还原先前的快照,如果对共享⽂件夹修改了设置,像是⼈员的权限、容量配额等,也可以⼀同进⾏还原,

这对于企业的IT运维⼈员来说是⽐较便捷的功能。

有些企业部署了异地备援,将源服务器(A)⾥的共享⽂件夹或iSCSI LUN复制到⽬标服务器(B)中,以防⽌本地A

务器发⽣意外时,可以在B服务器上接起服务。但当A服务器修复后,想要将复制数据再还原到A服务器上,该如何实现

呢?

A发⽣故障时,⽴即在B服务器上进⾏【故障转移】,即可由B接管原来A服务器的⼯作负载。⽽在故障转移时,由于

B接起了原有⼯作负载,所以复制的共享⽂件夹、iSCSI LUN会由原来的只读状态变为可写。

A服务器修复可以正常运⾏后,通过在B服务器上设置【重新保护】,可以将原本复制的共享⽂件夹、iSCSI LUN

重新复制到A服务器中。

在设置重新保护过程中,可以重新设定源服务器和⽬标服务器,如果想将A服务器继续设置为源服务器,在【新源服务

器】这⾥选择A即可。

重新保护设置完成后,B服务器上的复制共享⽂件夹状态就⼜变为只读了。

群晖Snapshot Replication提供的快照以及通过复制所实现的异地备援,可以帮助企业避免勒索病毒的威胁和硬件故障

所带来的业务停⽌,并且基于群晖软硬件⼀体化的部署,⽆需额外的软件授权,对于异地备援部署也可以有效控制成本

预算。