全部產品
Search

搜尋本產品

    Elastic Compute Service:提升執行個體防勒索能力的指南

    文件中心

    Elastic Compute Service:提升執行個體防勒索能力的指南

    更新時間:Feb 25, 2025

    勒索病毒是一種極為常見的電腦病毒類型。其入侵行為會對業務資料進行加密勒索,導致業務中斷、資料泄露及資料丟失等問題,從而帶來嚴重的業務風險。本文將為您介紹如何提升執行個體的防勒索能力。

    背景說明

    隨著電腦技術和雲端運算技術的不斷髮展,各類電腦病毒層出不窮,其中勒索病毒已成為一種極為常見的電腦病毒類型。阿里雲充分利用多年積累的雲端安全防護經驗及前沿的安全攻防技術,為使用者提供全面的安全解決方案。關於防範勒索病毒的更多資訊,請參見什麼是防勒索

    問題現象

    當您的執行個體遭遇勒索病毒攻擊時,系統檔案將被加密,您將在執行個體的使用者工作目錄路徑下看到勒索資訊。以Windows系統為例,遭遇勒索病毒後,通常會看到如下所示的勒索資訊。

    image

    方案概述

    電腦病毒防範措施可以降低感染風險,但無法完全杜絕中毒事件。針對勒索病毒,資料備份將為您提供最後的保障方案。然而,在通過備份或者快照執行資料恢複時,從快照建立時間點到復原雲端硬碟這段時間內的資料會丟失。因此,您需要結合實際業務情境,制定合理的資料備份策略,以有效保護重要資料。

    以下為您提供常見的勒索病毒防護思路。

    上述三種防護策略可以並行實施,具體方案可根據您的業務需求進行選擇。例如,如果您的商務持續性要求較高,可以同時應用三種策略,但這可能意味著您需要為備份或快照支付相應費用。

    方案一:通過Security Center提升執行個體防勒索能力

    整體思路

    操作指引

    1. 開通防勒索服務併購買防勒索容量

      要使用Security Center提供的防勒索功能,您需要開通防勒索服務併購買防勒索容量,相關操作,請參見開通併購買服務

      說明

      您可以根據自身的實際情況及業務需求選擇購買防勒索相關服務。

    2. 建立防護策略

      開通服務後,您需建立防護策略。請參考以下操作步驟,以完成防護策略的建立。

      建立防護策略

      建立策略前,請確保您伺服器的作業系統版本在支援範圍內,不在支援範圍內的伺服器將無法進行資料備份。伺服器防勒索功能支援的作業系統詳情,請參見伺服器防勒索支援的作業系統版本

      1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

      2. 在左側導覽列,選擇防護配置 > 主機防護 > 防勒索

      3. 防勒索頁面的服务器防勒索頁簽下,單擊创建防护策略

      4. 创建防护策略面板,輸入策略名稱稱,選擇伺服器類型和資產。

        配置項

        說明

        策略名稱稱

        設定防護策略的名稱。

        伺服器類型

        選擇防護策略生效的伺服器類型。

        備份路線

        伺服器類型選擇非阿里雲伺服器時,需要配置備份資料使用的通訊方式。可選項:

        • 公網:選擇公網進行資料備份傳輸,可能會產生一定的公網頻寬費用。

        • 私網:選擇私網進行資料備份傳輸時,您需要使用阿里雲Virtual Private Cloud、物理專線、雲企業網CEN等方式,連通非阿里雲伺服器與所選地區下的防勒索網路存取點之間的通訊。

        地區

        伺服器類型選擇非阿里雲伺服器時,需要選擇伺服器所在的地區或和防勒索網路存取點網路暢通的地區。這裡選擇的地區用來指定接入防勒索服務的網路存取點。為了成功備份資料,您需要確保伺服器和所選擇地區下的防勒索網路存取點網路互連。更多資訊,請參見防勒索網路存取點

        选择资产:

        支援選中單台資產、跨組選中多台資產或者選中資產分組。執行以下操作選擇需要防護的資產:

        • 資產分組地區選取項目某一資產分組,系統將自動選擇該分組下的所有資產。您可在右側資產模組下,取消選中不需要的防護的資產。

        • 資產模組下輸入資產名稱(支援模糊查詢),單擊搜尋方塊的搜尋按鈕後會為您展示相關資產,您可選中需要防護的資產。

        說明

        • 選擇資產時,阿里雲伺服器支援單個策略內配置多個地區的伺服器,非阿里雲伺服器僅支援單個策略中配置同一地區的伺服器。

        • 為保證您的防護容量得到合理和有效利用,每台伺服器只支援添加到一條防護策略中。

      5. 创建防护策略面板,設定資料備份的具體策略,並單擊確定

        支援選擇推薦策略或自訂策略。

        • 推薦策略:推薦策略為Security Center內建的防護策略,不支援修改,配置簡單。具體規則如下:

          • 防护目录:全部目錄(排除系統目錄)

          • 排除指定目录:顯示排除目錄的列表

          • 非本地掛載路徑:排除非本地掛載路徑(即排除OSS、NAS等非本地掛載路徑)

          • 防护文件类型:全部檔案類型

          • 数据备份开始时间:00:00~03:00的任意時刻

          • 备份策略执行间隔:1天

          • 备份数据保留时间:7天

          • 备份网络带宽限制:

            • 阿里雲伺服器:0 MB/s

              說明

              0 MB/s代表不限制備份網路頻寬。

            • 非阿里雲伺服器:5 MB/s

        • 自訂策略:使用者自行定義策略的具體規則,靈活性較高。支援指定防護目錄、排除指定目錄、防護檔案類型、資料備份開始時間、備份策略執行間隔、備份資料保留時間和備份網路頻寬節流設定(MB/s)。以下是參數配置說明。

          配置項

          說明

          防护目录:

          選擇需要進行備份的目錄,支援選擇以下類型:

          • 指定目录:即備份已選中資產的指定目錄。您需要在防護目錄位址中新增需要備份的目錄位址。配置樣本:

            • Windows:C:\Program Files (x86)\

            • Linux:/usr/bin/

            最多可添加20條防護目錄位址。Security Center會串列執行各個防護目錄位址的備份任務。如果一個防護目錄位址下的檔案較多,可能會消耗較多的伺服器資源(CPU和記憶體)。您可以將一個目錄拆分為多個防護目錄位址,通過串列執行備份任務,有效地降低備份佔用的伺服器資源。

          • 全部目录:即備份已選中資產的全部目錄。

          排除指定目录:

          指定不需要備份的目錄。Security Center提供了預設的不需要備份的目錄,您可以在此基礎上修改這些目錄。

          非本地掛載路徑

          選擇是否排除非本地掛載路徑。非本地掛載路徑是指OSS、NAS等掛載路徑。

          防护文件类型:

          選擇需要進行防護的檔案類型,支援選擇以下類型:

          • 全部文件类型:即針對所有類型的檔案進行備份防護。

          • 指定文件类型:即針對指定檔案進行備份防護。支援選擇文檔類、圖片類等。

            重要

            支援同時選中多個檔案類型。Security Center僅備份您資產中此處選中的檔案類型。

          数据备份开始时间:

          設定資料備份開始時間。

          重要

          防護策略建立後,初次進行資料備份時由於要全量備份防護目錄下的資料,會消耗一定量的CPU和記憶體資源。為避免對您的業務造成影響,建議您選擇業務量較小的時段進行資料備份。

          备份策略执行间隔:

          設定備份策略執行間隔,預設為1天。

          备份数据保留时间:

          設定備份資料保留時間,預設為7天。

          重要

          超過備份資料保留時間後,備份資料會被自動清理,建議您根據業務需求合理設定備份資料保留時間。

          支援選擇以下儲存方式:

          • 永久:備份資料將一直保留,直到Security Center服務到期或您刪除防護策略或防護策略下的伺服器。

          • 自訂:自訂儲存天數,最小可設定1天,最大支援設定65535天。

          备份网络带宽限制:

          設定備份資料可佔用的網路頻寬閾值。取值範圍:0 MB/s~不限流量。

          阿里雲伺服器備份資料時僅佔用私網頻寬,不影響公網頻寬。非阿里雲伺服器在備份資料時需要佔用公網或私網頻寬。您可以在此處設定備份可佔用的網路頻寬閾值,避免備份佔用過多頻寬對您業務產生影響。

          • 阿里雲伺服器預設為0 MB/s。

            說明

            0 MB/s代表不限制備份網路頻寬。

          • 非阿里雲伺服器預設為5 MB/s。

    3. (條件可選)通過Security Center的有效備份恢複資料。

      1. 為遭遇勒索病毒的執行個體系統硬碟及資料盤建立快照。關於建立快照的具體操作,請參見建立快照

      2. 如果您遭遇了勒索病毒攻擊,那麼您可以使用Security Center的備份快速恢複業務,請參考如下操作步驟,以完成資料恢複。

        建立恢複任務

        1. 登入Security Center控制台。在控制台左上方,選擇需防護資產所在的地區:中國全球(不含中國)

        2. 在左側導覽列,選擇防護配置 > 主機防護 > 防勒索

        3. 服务器防勒索頁簽下的防護策略列表中,定位到要建立恢複任務的伺服器。

          您可使用原則列表上方提供的搜尋功能,通過策略名稱稱或伺服器名稱快速尋找到目標伺服器。

        4. 單擊目標伺服器操作列的復原

        5. 创建恢复任务面板,選擇待恢複的版本及檔案,輸入恢複目錄位址以及恢複的目標伺服器。

        6. 單擊確定

          恢複任務建立成功後,您會收到恢复任务创建成功的提示。您可以前往恢複的目標伺服器上查看已恢複的備份資料。

    方案二:使用自動快照策略為執行個體建立備份

    整體思路

    操作指引

    通過快照為執行個體建立備份,是為了在遭遇勒索病毒之後,儘可能地恢複資料。需注意此方案僅提供事後恢複能力,不能替代主動防護措施。

    1. 為執行個體建立快照策略,相關操作,請參見建立自動快照策略

    2. (條件可選)通過遭遇勒索前的有效快照恢複資料。

      1. 為遭遇勒索病毒的執行個體系統硬碟及資料盤建立快照。關於建立快照的具體操作,請參見建立快照

        重要

        復原雲端硬碟是無法復原操作,從快照建立時間點到復原雲端硬碟這段時間內的資料會丟失。為避免誤操作,建議您在復原前為雲端硬碟建立快照備份資料。

      2. 關於初始化執行個體系統硬碟的相關操作,請參見重新初始化系統硬碟(重設作業系統)

      3. 關於使用指定快照恢複執行個體系統硬碟或資料盤資料的相關操作,請參見使用快照復原雲端硬碟

    方案三:通過安全性群組、防火牆等安全性原則提升防護能力

    整體思路

    操作指引

    通過安全性群組、防火牆等安全性原則可以在一定程度上提升執行個體的勒索病毒防護能力,但是需要您具備網路安全等相關的技術能力。

    1. 有關安全性群組、防火牆策略相關的實踐,請參見ECS安全性群組實踐(入方向規則)Windows系統防火牆策略配置指南

    2. (條件可選)通過第三方公司進行勒索資料的解密與恢複。

      1. 為遭遇勒索病毒的執行個體系統硬碟及資料盤建立快照。關於建立快照的具體操作,請參見建立快照

      2. 關於初始化執行個體系統硬碟的相關操作,請參見重新初始化系統硬碟(重設作業系統)

      3. 在完成遭遇勒索的執行個體的系統硬碟初始化之後,如果您未事先對重要資料進行備份或建立快照,您可以選擇聯絡第三方公司以進行勒索資料的解密與恢複。

        警告

        第三方公司所提供的遭遇勒索病毒後的資料解密能力,與阿里雲無關。阿里雲對於資料恢複的程度及可能發生的資料損毀不承擔任何責任。

    相關文檔