驾车下载攻击如何将整个城市封锁了4天

无论是洪水、电力故障、勒索软件攻击或其他广泛的地理事件，我们不知道恢复it基础设施是什么感觉，除非我们必须自己做。

我们关注其他人的备份和恢复问题，希望我们更聪明或足够聪明，以防止它发生在我们身上。

从停机事件中恢复包括不便、额外的工作、尴尬和真正的痛苦。

勒索软件攻击就是一个很好的例子。

单位趋势，一家专门从事备份和业务连续性解决方案的美国公司，最近与我们分享了一个真实的网络攻击事件，该事件发生在他们的一位客户身上，描述了他们在针对美国城市的CryptoLocker攻击后恢复功能所需的步骤。

此外，它如何花费城市治理团队数天的生产和数百个工时来恢复。

挑战

Issaquah是美国华盛顿一座有30434人的小城市。据《福布斯》报道，他们是华盛顿州增长第二快的郊区。

IT经理John T领导一个由五名员工组成的团队，他们执行与该市IT治理团队共同开发的所有IT计划。John的团队管理所有技术，包括手机、网络、服务器、台式机、应用程序和云服务。

该市只有两名致力于基础设施建设的IT员工。

约翰报告说：“我们分布得非常稀疏，以至于日志没有得到一致的监控”。“我们正慢慢从十年来IT投资不足的状况中恢复过来，软件、硬件和网络升级积压了大量工作”。

投资不足的部分原因是，他们继续依赖一台使用Backup Exec的磁带机，这台磁带机已经使用了10年。

他们继续蹒跚前行，直到遭到加密锁勒索软件攻击。

感染

以下是John与我们分享的完整故事：

归根结底，我们认为勒索软件攻击源于一次“开车路过”，一名城市员工在那里参观并开设了一家商店。一个非营利组织运营的拨款协调网站上泄露的pdf文件。这并非罕见的风险，一家小型公司或组织网站，没有IT资金来应对当今光速世界的安全风险。

用户日志文件中的大多数条目都是无害的，尽管这种病毒的工作方式是，它可以随时下载，但仍需要用户执行。在执行之前，它可能已经在硬盘上放置了数周（看起来像一个.pdf文件），不过我们需要采访用户，看看她是否记得这样的事情。这个勒索软件似乎使我们的反病毒系统失效，并且已知一旦完成，就可以清除所有痕迹。

这种病毒只在电脑内存中运行，没有出现在我们系统中的任何其他设备上。它只攻击了微软Office，图片。pdf和用户PC上文件夹中的文本文件，以及用户必须具有写入权限的文件共享。一旦电脑在安全模式下重启，它就会停止加密文件。缺乏传播可能是因为病毒被设计为仅驻留在内存中以防止触发警报，或者是因为我们的防病毒软件在病毒试图传播时在其他设备上截获了病毒。

托管该文件的物理服务器还托管了五个关键的虚拟应用程序服务器。经过仔细分析，确定这些设备没有受损。我们立即将这些虚拟机转移到另一台主机上。这是在启动服务器还原之前完成的，以减少文件服务器主机上的处理器和NIC负载。

当我们开始文件服务器恢复过程时，很快就发现这需要很长时间…；结果是四天。快速分析显示，我们没有其他恢复文件服务器的选项。备份。exe设备确实工作，在恢复过程中从未出现故障或停止。似乎恢复的规模对于设备容量来说太大了，它不得不将训练分块进行，这使得恢复过程非常漫长。

幸运的是，袭击发生在星期四，所以只有星期四和星期五的办公效率损失。即便如此，我们的用户还是受到了非常负面的影响，非常沮丧（我们也是如此）。这导致资金被释放，以转移到一个现代化的备份设备。

从勒索软件攻击中恢复的实际成本

John说，高级管理人员同意为备份系统的升级提供资金，经过供应商选择过程后，他的团队选择了他们认为功能和容量的最佳组合，成本合理。

如果今天发生同样的勒索软件攻击，数据备份在Unitrends Recovery Series 933S设备上，结果会大不相同。

首先，攻击很快就会被发现，因为Unitrends的所有设备都包括预测分析软件和机器学习，可以自动识别勒索软件对备份文件的影响。
然后会自动向管理员发送一封电子邮件，警告攻击并识别受影响的文件。然后执行他们制定的灾难恢复计划。

其次，删除、重新安装受影响的文件并重新启动受影响的服务器需要几分钟，而不是几个小时，甚至可能不需要四天。

使用感染前最后一次良好的备份，关键应用程序可以在备份设备上立即启动。这将极大地限制对员工和办公室生产力的负面影响。

结果

John报告称，自从安装Unitrends设备以来，已经发生了几起备份和恢复事件。

“我们使用备份设备来恢复最终用户意外删除的文件。当主机系统出现故障时，我们还使用它来恢复虚拟机。后一种情况下的停机时间仅限于员工响应时间，因为关键任务备份虚拟机在不到五分钟内就启动了！”

“我们还计划很快转向云计算，因为Unitrends设备配备了集成的云软件。我们希望从云计算中看到的最大好处是低成本的非现场存储、在需要时作为DraaS功能恢复云中的应用程序的能力，以及在自然灾害类型的紧急情况下从任何地方进行访问”。

“我们现在可以放心地知道，我们可以在需要时快速恢复。我们还通过易于使用的用户界面增加了团队在备份和灾难恢复方面的共享知识”。