备份通常被认为是对付勒索病毒的一种防御机制。但是如果没有正确实施，备份本身可能会被感染，从而使备份失效。为了防止这种情况的发生，有一个适当的应对勒索软件的备份策略是很重要的。

现在大多数公司都使用基于追踪块变化的备份。如果一个存储块被修改了，那么这个块就会被备份。但是如果发生了勒索病毒感染，那么勒索病毒造成的加密过程将被视为常规文件修改，然后新修改的文件将被备份。

通过遵循一些最佳实践指导原则，可以帮助你将勒索病毒从备份中排除。

备份不是你的第一道防线

基本的应对勒索病的毒备份规则是你不应该把备份作为第一道防线。虽然你的备份确实可以帮助你逆转由勒索病毒造成的损害，但最好还是采取措施在第一时间避免发生勒索病毒感染，而不是在感染已经发生后还继续进行备份。

至少，这意味着要在整个公司运行防病毒软件并保持软件更新。然而，即使是防病毒软件，也不是完美的。这么多年来，虽然系统受到了反病毒软件的保护，但是还是有很多病毒感染事件发生。在这种情况下，您可以考虑使用进程白名单，它禁止任何未经授权的进程在受保护的系统上运行。

检查你的版本保留策略

对版本保留策略的检查是应对勒索病毒备份策略的另一个重要方面。毕竟，如果你没有办法将文件恢复到未加密前的状态，那么你的备份将没有办法应对勒索病毒的影响。表面上看，确保多个版本进行保留可能听上去很荒谬，毕竟，几乎任何现代备份产品都可以让你将文件恢复到一个旧的版本。即使如此，仍然值得去考虑保留的文件版本和保留这些斑斑的时间长度，因为你可能并不不能马上就知道感染已经发生了。

假设，一个用户在公司桌面工作时意外触发了一个勒索病毒的感染。取决于勒索病毒的设计方式，可能会是首先对存放在受感染设备上的文件进行加密，但很可能也会对映射的网络驱动器中的文件进行加密。取决于用户访问的数据量大小，加密过程可能需要一段时间才能完成。

这种情况有趣的地方在于，用户可能并不能马上知道勒索软件的感染已经发生了。从勒索软件作者的角度来考虑:如果勒索软件在加密之前或者在加密过程中告诉用户数据被感染了，那么用户就可以采取某种行动来限制感染的影响。另一方面，如果勒索病毒一直不告诉用户感染的情况直到它对所有东西进行了加密，那么病毒对用户的损害就已经发生了。

也有可能在IT部门发现感染之前还有更长的一段时间。想象一下，如果用户试图掩盖他们系统被感染的事实，会发生什么情况。IT部门可能都没有意识到感染已经发生直到其他人开始报告问题。

关键是你可能并不是马上就知道受到了勒索病毒的攻击，所以备份保留策略只保存最近的几个版本，在几个小时或者几天前的将数据过期。理想的状况是，一个勒索病毒应对的备份策略应当包含尽可能多的恢复点以便将从感染中恢复数据的机会最大化。

一定要用权宜之计

如果您正在执行基于磁盘的备份，而勒索病毒设法加密了你的整个备份目标，那么你将失去从勒索病毒的攻击中进行恢复数据的能力。应对这种情况的一种方法是建立权宜机制。换句话说，你需要一个勒索病毒不能触摸的备份。实现这一目标的唯一可靠方法是有一个与系统完全断开连接的备份。

基于磁带的备份是一个非常好的权宜之计，因为勒索病毒不可能感染到那些没有放到磁带驱动器中的磁带。很明显，基于磁带的备份并不能提供基于磁盘的备份的优点，但是你也没有理由放弃基于磁盘的备份，而支持磁带。相反，您可以部署从磁盘到磁盘到磁带的备份体系结构，它将可以定期的将你一磁盘为备份设备的备份内容复制到可以安全离线存储的磁带上。

当发生勒索病毒攻击时，勒索病毒可能会加密你备份在存储阵列的内容。即使它没有加密这些数据，你也几乎肯定会备份受到感染的文件。因此，让勒索病毒远离你的系统是非常重要的，并且如果一个勒索病毒攻击已经发生，你要有一个合适的能应对勒索病毒的备份计划能帮助你恢复数据。