今年3月15日，小岑博客（目前網(wǎng)站已無(wú)法訪(fǎng)問(wèn)）發(fā)表文章稱(chēng)其 VMware vSphere 集群中的虛擬機被加密，導致大量虛擬機癱瘓。

根據博主的描述，本次事件受影響的是 Windows 和 vSphere，這意味著(zhù)虛擬機系統底層也被勒索病毒盯上了。

實(shí)際上，針對 VMware vSphere 系統漏洞的攻擊已在今年2月發(fā)生過(guò)，勒索軟件團隊通過(guò) “RansomExx” 病毒，利用 VMware ESXi 產(chǎn)品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬盤(pán)的文件進(jìn)行加密。

“RansomExx” 病毒早在去年10 月就被發(fā)現非法入侵企業(yè)的網(wǎng)絡(luò )設備，并攻擊本地的 ESXi 實(shí)例，進(jìn)而加密其虛擬硬盤(pán)中的文件。由于該實(shí)例用于存儲來(lái)自多個(gè)虛擬機的數據，因此對企業(yè)造成了巨大的破壞。

目前為止，暫未有其他虛擬化平臺用戶(hù)發(fā)現被勒索病毒攻擊的情況發(fā)生。但是，眾所周知，ESXi 系統也是基于 linux 底層進(jìn)行定制，所以，理論上勒索病毒在其他虛擬化平臺也有攻擊的可能。只是此次發(fā)生的情況，可能跟 VMware 本身的漏洞有關(guān)。所以，VMware 用戶(hù)還請提高警惕。

根據已有 VMware 勒索事件發(fā)現，黑客利用 VMware ESXi 管理程序漏洞對虛擬機進(jìn)行加密。Carbon Spider 和 Sprite Spider 這兩個(gè)團伙專(zhuān)門(mén)攻擊 ESXi 虛擬機管理程序，發(fā)動(dòng)大規模的勒索病毒活動(dòng)（又叫大型目標狩獵，BGH）。

他們通過(guò) vCenter Web 登錄信息攻擊 ESXi 系統，可控制多個(gè) ESXi 設備的集中式服務(wù)器，連接到 vCenter 后，黑客使 SSH 能夠對 ESXi 設備進(jìn)行持久訪(fǎng)問(wèn)，并更改 root 密碼或主機的 SSH 密鑰，與此同時(shí)植入 Darkside 勒索病毒，達成目的。

上個(gè)月底 VMware 也發(fā)布了一份安全公告，對其虛擬化產(chǎn)品中的三個(gè)高危漏洞打上了補丁，這包括 ESXi 裸機虛擬機管理程序中的堆緩沖區溢出漏洞，以及 vCenter Server 的底層操作系統漏洞。

01

針對虛擬化平臺的攻擊，我們應該如何防范呢？

原博主的處理方式實(shí)際上就是兩種：

1.通過(guò)之前的存儲快照進(jìn)行恢復；

2. 通過(guò)之前的虛擬機整機備份集進(jìn)行恢復（虛擬機快照文件已經(jīng)被加密，無(wú)法恢復）。

所以從他們的解決方式可以看出來(lái)：數據災備才是最有效的安全保障。

02

如何對虛擬化機進(jìn)行備份，以及針對關(guān)鍵虛擬機進(jìn)行容災？

1、虛擬化集中式備份

鼎甲迪備，支持 VMware 無(wú)代理備份及有代理備份，傳輸模式支持 LAN 和 SAN，可做到虛擬機整機恢復、單盤(pán)恢復、單文件恢復。

同時(shí)支持增量備份、差異備份等多種備份方式，大幅度提升單位時(shí)間內的備份次數，以有效降低備份的 RPO 值減少企業(yè)的損失。

2、海量虛擬機環(huán)境

鼎甲迪備可以在虛擬機數量巨大、虛擬化平臺結構龐大，甚至跨越多個(gè) vCenter 等情況下，實(shí)現跨 vCenter 的備份和恢復。

透過(guò)虛擬機整機永久增量備份技術(shù)，讓備份時(shí)間窗口不再煩擾。

備份數據的高效重復數據刪除，讓備份數據的存儲空間不再占用大量的預算。鼎甲迪備的重復數據刪除比例高達80-90%。

3、核心數據庫備份

鼎甲迪備不但可以備份虛擬機，還可以通過(guò)安裝 Agent 的方式，將虛擬機內部的數據庫進(jìn)行備份。鼎甲迪備的連續日志備份技術(shù)能夠實(shí)現數據庫的物理在線(xiàn)備份和日志備份，其恢復顆粒度可達事務(wù)級，如 Oracle 的一個(gè) SCN 號或 MySQL 的一個(gè) GTID 。

4、二級冷備

在線(xiàn)備份解決的是快速高效的備份和恢復，而二級冷備則解決了數據級的多副本容災問(wèn)題，二級冷備可通過(guò)磁帶庫、異地物理節點(diǎn)傳輸、對象存儲、藍光光盤(pán)塔等方式實(shí)現，讓數據高枕無(wú)憂(yōu)。

鼎甲作為國內領(lǐng)先的數據保護產(chǎn)品提供商，面向傳統數據中心、云計算、大數據三大場(chǎng)景，為客戶(hù)提供包括數據保護、數據副本管理、多云數據管理、數據存儲等產(chǎn)品和服務(wù)，業(yè)務(wù)已覆蓋政府、金融、運營(yíng)商、能源、醫療、教育等關(guān)鍵領(lǐng)域行業(yè)，深得客戶(hù)認可。

如今，鼎甲已憑借自研的數據保護系列產(chǎn)品，成功服務(wù)于數字廣東、數字福建、數字河南、廣東電信、廣東郵政、上海政務(wù)云等眾多客戶(hù)，提供全面的數據保護解決方案。根據國際權威調研機構 IDC 近年的市場(chǎng)分析報告顯示，鼎甲已連續三年（2018、2019、2020H1）奪得災備一體機市場(chǎng)中國品牌第一名。

03

最后，一些對付勒索病毒的建議

1、要備份；

2、天天備份；

3、備份的備份。