2018/03/12

某医院不幸中了勒索病毒之后……

点击“戴尔易安信解决方案”快速订

新春伊始就有三家医院中了勒索病毒，对生产业务和数据安全造成极大影响。我们知道，对于勒索病毒最重要的做好前期防范工作，因为中了勒索病毒后，通常会经历恢复数据，执行病毒查杀，恢复业务三个阶段，但这会带来业务中断和部分重要数据丢失，而且整个恢复过程非常耗时。某医院中了勒索病毒后，从2月24日下午6点到2月25日早上7点，花了13个小时才恢复业务，这还不包括24日白天进行病毒排查，制定杀毒方案和系统恢复方案所消耗的时间。

有没有办法帮助医院在中毒后在1-2小时内快速清除病毒，恢复业务和数据，将影响和损失降到最低的解决方案呢？答案是有的！

采用Dell EMC的连续数据保护解决方案（RecoverPoint，以下简称RP）就能满足这个需求。

RP，月光宝盒带你倒带时光

RP类似数据中心的月光宝盒，能帮助信息中心在中毒后将数据恢复到中毒前的任意一个时间点。RP技术简单讲是一个数据录像机（注意是录像机，不是相机），它能将受保护业务系统的每一个写IO都录制（复制）下来，保存到专用于数据保护的日志卷中。保护流程如下图所示：

从RP的保护流程可知，当生产服务器中毒后，可以采用录像倒带的方式，选择日志卷上指定的时间点，将数据和业务恢复到需要的时点或者健康的时点。除了能快速恢复数据外，RP的复制卷还可以被挂载到其他服务器上进行读写访问，用于报告分析，开发测试，数据备份等用途，而且在执行这些操作时生产业务不受影响，对生产业务的连续数据保护也不会中断。在发生生产卷（或生产存储）灾难时，还可以将生产业务切换到复制卷上，在最短时间内恢复业务。

RP，数十小时的修复五分钟就能搞定

采用RP保护后，对于病毒查杀、数据恢复能带来的具体好处是什么呢？这里仍以某医院为例，该院于2月24日发现HIS服务器中了勒索病毒，2月25日早上7点清除病毒，业务恢复正常。这场病毒遭遇战简单回顾如下：

24日早上8:40，分诊叫号系统无法使用，开始故障排查；

10:00电子病历、移动护理、手麻系统卡死；

11:10发现中了勒索病毒，开始中毒原因查找；

13:30找到病毒种类和发作机制；

17:00找到病毒源头、制定好病毒清除方案和业务恢复方案，等待业务下班；

18:30停止业务，对生产库做完全备份；

25日凌晨1:00，生产库备份仍未完成，开始用Oracle DG恢复数据；

2:30测试库病毒清除操作验证完成，但DG恢复数据缓慢；

5:30 DG恢复数据完成，有了一份生产库的完全一致备份，开始在生产库执行病毒清除操作；

7:00病毒清除完毕，重启生产库，开始恢复业务。

分析该院业务恢复流程可以看出整个过程分为故障排查及应急方案制定、数据备份及杀毒方案验证、病毒清除和业务恢复三个阶段。

如果该院已经采用RP连续数据保护措施，则数据备份工作可以不做，因为RP可以提供每一个时间点的完整备份。杀毒方案验证工作在找到病毒源，制定好杀毒方案后，可立即在灾备服务器上将复制卷拉起进行，此时生产业务并不会受到影响。如果查杀方案可行，可在复制卷病毒查杀完毕后，直接将生产业务切换到复制卷上，整个切换过程通常在5分钟内即可完成，也就是说生产业务只会中断5分钟。从下表可以看出采用RP后，在病毒查杀和业务恢复时带来的好处：

厉害的RP，操作却很Easy~

以上案例中的勒索病毒是一个变种，该病毒并未对重要文件加密和删除文件，只是循环执行创建Job操作，消耗数据库资源和主机资源，直至将数据库拖死。若中的病毒将重要数据加密或删除，会导致业务中断和数据丢失。然而不管中的是何种勒索病毒，采用RP连续数据保护解决方案后，其业务恢复方案都是类似的，具体步骤如下：

立即断开与互联网的连接；

在灾备主机上安装好最新的操作系统补丁，将杀毒软件升级到最新版本（如有病毒查杀专家在场指导更好）；

利用RP的日志将复制卷上的数据回滚到中毒前的某一时刻（最近可以回滚到中毒前一秒），然后在灾备主机上挂载复制卷，执行病毒查杀验证工作，验证杀毒方案是否可行有效；

杀毒方案验证成功后，可以直接利用复制卷恢复生产卷数据，或者直接将生产业务切换到复制卷上；

恢复业务；

在病毒种类和病毒源确认后，采用以上步骤可以快速恢复业务，最大限度降低业务影响和数据丢失。如果没有灾备主机，也可以在生产主机上执行同样的操作，只是这样做会带来较长的生产业务中断时间。

如果RP结合Dell EMC的VPLEX存储虚拟化网关，还支持对多种品牌存储提供数据录像保护，这种方式能有效保护原有的投资，而且实施RP解决方案时无需进行数据迁移。四川某大型三甲医院就是采用RP+VPLEX的解决方案对其运行在IBM存储和HDS存储上的关键业务进行连续数据保护，拓扑如下图所示：