原文链接: https://mp.weixin.qq.com/s?__biz=MzkzNjIzMjM5Ng==&mid=2247492842&idx=1&sn=0503fdf3d44d2b9c627664130030c8d9

勒索病毒断网后黄金1小时：精准备份策略决定生死

信息安全大事件 2025-07-22 07:45

当勒索病毒警报响起，网络管理员按下交换机电源的瞬间，一场与时间的赛跑正式开始。断网只是遏制病毒扩散的第一步，真正决定业务能否快速恢复的关键，在于断网后1小时内的文件备份策略。不少企业因盲目备份导致关键数据遗漏，或因备份了带毒文件造成二次感染，最终陷入“支付赎金”还是“彻底重建”的两难境地。

一、业务系统核心数据：决定恢复速度的“命脉文件”

业务数据是企业运转的核心，也是勒索病毒主要加密目标。断网后需按“不可再生性”和“业务关联性”排序，优先备份以下文件：

1、数据库原始文件与日志

关系型数据库（如MySQL, SQL Server, Oracle）的物理文件是重中之重。
– MySQL: 直接拷贝 /var/lib/mysql (库表文件) 和 /var/log/mysql (二进制日志)。

• Oracle数据库: 同时备份 $ORACLE_BASE/oradata (数据文件) 和 $ORACLE_BASE/flash_recovery_area (归档日志)

通过 rman 工具进行时间点恢复。

2、应用系统配置文件

包含数据库连接串、加密密钥、权限配置等关键信息。

以Web应用为例，Tomcat的server.xml、Nginx的nginx.conf、Java应用的application.properties等文件，直接决定系统能否正常启动。

按层级梳理备份：

服务器级: 如 /etc/sysconfig。

中间件级: 如 /usr/local/tomcat/conf/。

应用级: 如 /var/www/html/config/。

记录各文件的路径哈希值以便后续校验完整性。

3、用户生成内容（UGC）与业务单据

电商订单、电子病历、设计图纸等具有不可再生性。

位置：文件服务器共享目录(如 //fileserver/sales/orders) 或对象存储 (如S3兼容存储桶)。

注意点：筛选近30天内新增或修改的文件。可用find /data -mtime -30 快速定位。

二、系统运行关键文件：支撑环境重建的“骨架文件”

操作系统与关键服务的配置文件体积小、恢复快，是重建基础，却常被忽视。

1、系统账户与权限配置
– Linux: /etc/passwd, /etc/shadow (需root), /etc/sudoers。

• Windows: C:\Windows\System32\config\SAM (需离线挂载获取)、活动目录数据库(NTDS.dit)。

2、网络与安全配置
– 防火墙规则：如Cisco startup-config, Palo Alto running-config.xml

• IDS特征库配置

• VPN连接信息 (如 OpenVPN client.ovpn)

备份方式：使用设备自带导出功能(例：show running-config | redirect tftp://10.0.0.1/backup.cfg)。

3、定时任务与脚本

Linux: /etc/crontab, /var/spool/cron/ (用户定时任务)。

Windows: “任务计划程序”导出文件 (.xml格式)。

业务自动化脚本：Shell, Python 脚本等。

注意：备份脚本的执行权限属性(getfacl 导出)。

三、应急响应溯源文件：为后续处置提供“证据链”

备份不仅为了恢复，更为溯源取证，分析攻击路径、评估影响范围。

1、系统日志文件

Linux 重点:
– /var/log/secure (认证日志)

• /var/log/messages (系统消息)

• /var/log/audit/audit.log (审计日志)

Windows 重点: 
– 事件查看器中的安全日志（.evtx）文件

• 应用程序日志

• 系统日志

2、进程与网络连接记录

断网后立即执行：

进生成程快照：

Linux: ps -ef > process_list.txt

Windows: tasklist /v > process_list.txt

记录网络连接状态：

Linux: netstat -anp > netstat.txt

Windows: netstat -ano > netstat.txt

3、可疑文件样本

对/tmp 目录下的未知程序、最近修改的 *.exe 等可疑文件，使用md5sum计算哈希值后，压缩加密备份。

四、备份操作规范：避免二次伤害的“安全准则”

错误的备份操作可能导致病毒扩散或数据损坏，需严格遵循：

1、备份介质准备

优先使用全新未接入感染网络的U 盘或移动硬盘。

低级格式化：Linux: dd if=/dev/zero of=/dev/sdb bs=1M count=100。

2、备份顺序与工具

原则：小文件优先(配置文件 KB 级 -> 业务数据 GB 级)。

Linux推荐：rsync -av –exclude=’*.virus’ /source /destination (排除可疑文件)。

Windows 推荐： robocopy C:\data D:\backup /MIR /XD *.tmp (增量备份)。

严禁：使用压缩软件打包备份（可能触发病毒活动）。

3、备份校验与标记

每完成一批：生成校验文件(sha256sum*> backup_checksum.sha256)，详细记录备份时间、操作员、存储位置。

物理标记介质：如“勒索病毒应急备份-20240520-财务系统分区”，避免混淆。

五、特殊场景处理：复杂环境下的备份策略

不同IT架构需针对性调整备份重点。

1、虚拟化环境(如 VMware)

关键：通过vSphere Client 导出虚拟机快照文件 (.vmsn) 和配置文件 (.vmx)。

避免：直接拷贝虚拟磁盘(.vmdk)，可能包含活跃病毒进程。

2、云环境(如 AWS, Azure)

立即通过 API 创建 AMI 镜像 (aws ec2 create-image –instance-id i-123456 –name “emergency-backup”)。

立即冻结S3存储桶版本 (aws s3api put-bucket-versioning –bucket mybucket –versioning-configuration Status=Enabled)，防止篡改历史版本。

3、工业控制系统(ICS)

优先备份PLC 程序 (如西门子 .awl)、SCADA 系统配置 (如 Intouch .ini)。

六、备份后的处置建议

立即脱离：将备份介质立即脱离受感染网络。

物理隔离：存储在物理隔离的安全环境中。

分级恢复：根据文件重要性制定计划：

优先恢复：核心业务数据(如交易记录)。

延后处理：非关键数据(如历史日志)。

结语

勒索病毒应急响应中，备份绝非“全量复制”的机械操作，而是基于业务优先级的精准取舍。断网后的黄金1小时内，能否保住那些“丢了就无法重建”的核心文件，直接决定了企业能否摆脱勒索困境。

江苏国骏建议：

企业应平时就建立“应急备份清单”，明确各系统的关键文件路径和备份责任人。当攻击真正降临时，才能在混乱中保持章法，将损失降到最低。

来源：HACK之道