今年3月15日，小岑博客（目前網站已無法訪問）發表文章稱其 VMware vSphere 集群中的虛擬機被加密，導致大量虛擬機癱瘓。

根據博主的描述，本次事件受影響的是 Windows 和 vSphere，這意味著虛擬機系統底層也被勒索病毒盯上了。

實際上，針對 VMware vSphere 系統漏洞的攻擊已在今年2月發生過，勒索軟件團隊通過 “RansomExx” 病毒，利用 VMware ESXi 產品中的漏洞（CVE-2019-5544、CVE-2020-3992），對虛擬硬盤的文件進行加密。

“RansomExx” 病毒早在去年10 月就被發現非法入侵企業的網絡設備，并攻擊本地的 ESXi 實例，進而加密其虛擬硬盤中的文件。由于該實例用于存儲來自多個虛擬機的數據，因此對企業造成了巨大的破壞。

目前為止，暫未有其他虛擬化平臺用戶發現被勒索病毒攻擊的情況發生。但是，眾所周知，ESXi 系統也是基于 linux 底層進行定制，所以，理論上勒索病毒在其他虛擬化平臺也有攻擊的可能。只是此次發生的情況，可能跟 VMware 本身的漏洞有關。所以，VMware 用戶還請提高警惕。

根據已有 VMware 勒索事件發現，黑客利用 VMware ESXi 管理程序漏洞對虛擬機進行加密。Carbon Spider 和 Sprite Spider 這兩個團伙專門攻擊 ESXi 虛擬機管理程序，發動大規模的勒索病毒活動（又叫大型目標狩獵，BGH）。

他們通過 vCenter Web 登錄信息攻擊 ESXi 系統，可控制多個 ESXi 設備的集中式服務器，連接到 vCenter 后，黑客使 SSH 能夠對 ESXi 設備進行持久訪問，并更改 root 密碼或主機的 SSH 密鑰，與此同時植入 Darkside 勒索病毒，達成目的。

上個月底 VMware 也發布了一份安全公告，對其虛擬化產品中的三個高危漏洞打上了補丁，這包括 ESXi 裸機虛擬機管理程序中的堆緩沖區溢出漏洞，以及 vCenter Server 的底層操作系統漏洞。

01

針對虛擬化平臺的攻擊，我們應該如何防范呢？

原博主的處理方式實際上就是兩種：

1.通過之前的存儲快照進行恢復；

2. 通過之前的虛擬機整機備份集進行恢復（虛擬機快照文件已經被加密，無法恢復）。

所以從他們的解決方式可以看出來：數據災備才是最有效的安全保障。

02

如何對虛擬化機進行備份，以及針對關鍵虛擬機進行容災？

1、虛擬化集中式備份

鼎甲迪備，支持 VMware 無代理備份及有代理備份，傳輸模式支持 LAN 和 SAN，可做到虛擬機整機恢復、單盤恢復、單文件恢復。

同時支持增量備份、差異備份等多種備份方式，大幅度提升單位時間內的備份次數，以有效降低備份的 RPO 值減少企業的損失。

2、海量虛擬機環境

鼎甲迪備可以在虛擬機數量巨大、虛擬化平臺結構龐大，甚至跨越多個 vCenter 等情況下，實現跨 vCenter 的備份和恢復。

透過虛擬機整機永久增量備份技術，讓備份時間窗口不再煩擾。

備份數據的高效重復數據刪除，讓備份數據的存儲空間不再占用大量的預算。鼎甲迪備的重復數據刪除比例高達80-90%。

3、核心數據庫備份

鼎甲迪備不但可以備份虛擬機，還可以通過安裝 Agent 的方式，將虛擬機內部的數據庫進行備份。鼎甲迪備的連續日志備份技術能夠實現數據庫的物理在線備份和日志備份，其恢復顆粒度可達事務級，如 Oracle 的一個 SCN 號或 MySQL 的一個 GTID 。

4、二級冷備

在線備份解決的是快速高效的備份和恢復，而二級冷備則解決了數據級的多副本容災問題，二級冷備可通過磁帶庫、異地物理節點傳輸、對象存儲、藍光光盤塔等方式實現，讓數據高枕無憂。

鼎甲作為國內領先的數據保護產品提供商，面向傳統數據中心、云計算、大數據三大場景，為客戶提供包括數據保護、數據副本管理、多云數據管理、數據存儲等產品和服務，業務已覆蓋政府、金融、運營商、能源、醫療、教育等關鍵領域行業，深得客戶認可。

如今，鼎甲已憑借自研的數據保護系列產品，成功服務于數字廣東、數字福建、數字河南、廣東電信、廣東郵政、上海政務云等眾多客戶，提供全面的數據保護解決方案。根據國際權威調研機構 IDC 近年的市場分析報告顯示，鼎甲已連續三年（2018、2019、2020H1）奪得災備一體機市場中國品牌第一名。

03

最后，一些對付勒索病毒的建議

1、要備份；

2、天天備份；

3、備份的備份。