备份，备份，备份。

有一个好的备份和恢复策略。您应该能够将任何服务器、网络文件共享或桌面客户端恢复到昨天、上周或上个月的状态（根据您的业务需要调整这些时间增量）。当您发现恶意软件感染时，只需对受影响的系统进行核攻击并从备份中恢复即可。

备份应位于物理分离的系统上。备份应该是pull，而不是push，即备份系统应该有权限从备份系统中读取，但备份系统不应该有权限写入备份系统。这可确保勒索软件不会覆盖备份。

此外，定期测试您的恢复策略。我从认为他们有备份的组织那里听到了太多可怕的故事，但是当他们真正需要备份的那一天到来时，他们发现他们的备份程序多年来一直存在错误，他们无法恢复任何东西。

为了避免经常需要麻烦，您还应该提高工作站的安全性：

• 授予工作站上的用户帐户有限的权限。他们应该只能运行他们工作所需的程序。
• 不要授予用户安装软件的权限。让 IT 部门在需要时远程安装软件。
• 一旦有可用更新，还可以远程更新所有软件。
• 在所有工作站上安装恶意软件扫描程序。
• 还要对您收到的所有电子邮件运行恶意软件扫描程序。
• 让您的工作站通过代理服务器浏览 Internet 还允许您在该代理上实施额外的过滤。

但所有这些实际上只是对适当的备份和恢复策略的辅助，当其他一切都失败时，这始终是您的最终安全网。

关于如何实施这些措施的详细说明过于冗长和详细，无法在此处描述，尤其是因为最合适的解决方案还很大程度上取决于您的 IT 基础架构和业务需求。但它应该给你一个开始的地方。

没有绝对的障碍，但您可以让恶意软件变得非常困难，并且做的不仅仅是过滤和备份。

想想加密勒索软件必须做什么才能成功——它必须：

1. 使用数据访问系统（包括克服 3 个障碍 - 技术、政策和人员）
2. 不被发现
3. 成功执行（运行）
4. 如果您不付款，您将处于丢失大量数据的境地。

所有这些都是你可以控制的障碍。

确切的方法和工具取决于平台，因此这是在 Windows 术语中，但原则应适用于其他系统。

到达系统

（注意：包括到达该系统的可写文件共享，可能不需要到达系统本身）

这是“边界保护”领域。它具有三个广泛的方面——技术方法、政策和人类知识。

边界保护的第一部分包括使用正确设置的防火墙、网关上的恶意软件过滤、网络的敏感和“公共”部分的分离。

政策包括制定和执行有关 IT 系统管理的良好政策和实践（系统如何工作、如何修改安全和测试/配置、权限等）以及适用于员工使用的政策，例如 U 盘纪律、手机/notebooks/bring-your-own-device 和其他可插拔设备。如果您允许远程访问，它是安全的。您是否曾经进行过漏洞评估，是否对结果进行了跟进？是否保留了安全日志并设置了适当的警报（它们是否实际上已调整，因此它们不仅仅是人们忽略的烦恼）。所有这些都是政策涵盖的内容。

边界保护的第三部分是用户（或员工）的良好理解。他们是否接受过他们需要知道的教育和培训？他们是否遵循您的政策，或者他们是否因为妨碍您而“绕过它们”？他们是否了解网络钓鱼链接和电子邮件是接收恶意软件的主要方式，他们是否知道要检查什么？如果计算机显示一条不熟悉的消息（可能是有效消息，也可能不是），他们是否知道该做什么以及如果不确定可以问谁，还是会单击先问再问？他们是否知道合法的受信任网站和来自同事或联系人电子邮件的电子邮件经常被恶意软件使用，正是因为“每个人都会信任它们”？如果他们觉得有什么不对劲，他们会不会觉得不受压力和批评的影响，并且他们可以和有名字的人一起检查一下，不会感到愚蠢或阻碍或将业务置于危险之中？（这是社会工程领域，它蓬勃发展“你现在就做这个，没时间好好检查！” 以及诸如“你会看起来很糟糕/X会生气/别惹我/我很重要！”之类的恐惧或压力。) 让员工参与进来，不要只是“从高处发号施令”，这样才能更好地让结果获得高水平的“认同”，并且他们了解它的重要性。

检测

监视可疑活动和“已知不良”文件的防病毒/反恶意软件。

自 2016 年起，特定的反勒索软件也开始出现，它会监视未加密文件上加密活动的特征迹象。例子包括“CryptoDrop”（一个值得谷歌搜索的学术项目），以及卡巴斯基等公司的测试版产品。

执行

大多数系统都具有能够阻止软件运行的管理功能。查看像“cryptoprevent”（FoolishIT inc）这样的软件包，它在 Windows 上有免费版本，并简单地告诉 Windows“不允许代码从这些位置或使用这些名称的文件运行”等等，对于很多常用的恶意软件位置。其他系统可能具有类似的能力。

数据丢失防护

已经提到了备份，但是如果上述所有方法都失败了，也存在其他防止数据丢失的方法。一个警告虽然 - 云备份和“复制到另一台机器”并不总是为此目的“备份”。如果恶意软件能够访问您的云数据或其他机器，它可能会覆盖它（取决于您的存储工作方式）。

除了备份之外，还有三种额外的方法值得考虑，以防止数据丢失/覆盖：

首先，windows（我想大多数系统）可以保留旧版本文件的“快照”，当它们发生变化时。在 Windows 中，它的“vss” - 卷快照服务”（“系统还原”建立在此之上）。勒索软件试图调用这些来删除现有的“内存”，因此您无法返回到预加密版本。Cryptopvent 有阻止 vss 程序以这种方式运行的设置，结果：如果你有这样的版本，删除旧版本数据的尝试将不起作用。它不会阻止所有勒索软件，但应该阻止一些。

其次，使用 FreeNAS 之类的东西进行宝贵的存储和备份。免费，信誉良好，专为数据完整性而设计。恶意软件可能会删除文件，但如果配置正确，则不太可能删除文件存储先前状态的每小时或 1/4 小时快照。一个有价值的附加功能是存储完整性，因为它使用 zfs 作为其归档系统，该系统专为强大的数据保护而设计。

第三，使用文件系统权限来限制用户可以做什么，以及系统凭据（登录安全/设备证书/等）。不要把所有的鸡蛋都放在一个篮子里。不要授予人们不需要的权限，或者访问他们不需要的数据文件夹的写入权限，并在他们离开或不再需要权限时撤销这些权限。

最后：关于远程系统/访问和安全的一般评论

正如我上面所说，恶意软件不需要在机器上就可以破坏机器保存的文件。您的防病毒软件会检测到恶意软件，但通常无法判断其他地方的恶意软件是否正在恶意写入其文件。软件执行限制也有同样的问题。因此，虽然这些增加了很多，但请记住，您需要考虑在连接到您的数据文件的任何设备上运行的恶意软件，而不仅仅是保存它们的设备。

这意味着要考虑很远 - “如果我的远程工作者家被他的孩子笔记本黑客入侵，而那个人在家工作并登录怎么办？” 或者“我的 B2B 应用程序和虚拟服务器主机呢？” 我认为是 Target 让他们的客户数据库被黑客入侵，黑客通过他们脆弱的联网加热控制器进入，从那里可以到达主网络。给你一个想法不是吗？

因此，“我的数据通过电线或 WiFi 连接到什么”有很长的路要走。这就是为什么良好的安全性是“分层”的——它同时使用了几个/所有这些，而不仅仅是一个或两个。

由于您无法保护所有内容，因此您的计划需要考虑您的后备保护是什么 - 也就是说，如果您无法阻止受感染的系统被感染、检测到其感染或停止，将如何应对恶意软件威胁恶意软件运行或传播到允许访问文件的机器。这是一种很好的心理锻炼，可以帮助您思考“应该如何阻止它”。