2016-03-24
Locker 病毒傳播不停、NAS 亦糟殃
啟用快照功能、迅間還原檔案無難度
文: Austin Wu / 評測中心


在一兩年前,網上開始流傳一款名為「 Locker 」之類的電腦病毒,它是透過遠程方式加密用家的電腦文件,然後向用戶勒索一定贖金才能夠將檔案解密。時至今日亦有類似的病毒通過不同方式流傳,有部份更能夠避過防毒軟件的偵測,令用家的重要文件構成威脅。通過外置硬碟或 NAS 等進行備份的確能夠為用家提供多一重保障,但究竟是否有進行備份就能夠萬無一失?病毒又會否將用家的備份都一併感染?



NAS 啟用快照、重新測試病毒影響力

 

究竟啟用了 QNAP NAS 的快照備份,而電腦又同時感染 Locker 病毒後,對網絡磁碟機的影響又會是如何呢?測試會重新建立一個潔淨的虛擬機以及 QNAP NAS 的環境,並同樣掛載一個擁有不同文件的網絡磁碟機,基本上所有設置與第一頁文章完全相同,然後又再從電郵裡面下載這個「真。病毒」並將它執行。

 

經過十多分鐘的感染後,電腦裡面、掛載中的網絡磁碟機、以及未有掛載的網絡磁碟機三個地方,裡面的檔案都被感染及加密,在 QTS 同樣無法打開被加密的檔案,此時, QNAP NAS 過去的快照擷取就能夠發揮作用。

 

Snapshot

重新建立一個潔淨的系統、然後又再一次將系統以及網絡磁碟機進行病毒感染

Snapshot

檔案被加密後只有兩個下場:無法打開、或全部變成亂碼

Snapshot

 

透過快照功能、檔案成功回復至原有狀況

 

在通過快照方式還原 NAS 檔案前,會建議用家先將被感染的電腦從網絡移除,或者最直接將網絡線拔走,而 NAS 如果許可的話,亦最好斷開網絡的連接。管理儲存空間裡面的快照管理員,用家可以見到過往曾經作出的所有快照,並以時間及名稱去排列,用家可以在 QTS 裡面預覽不同快照的資料夾內容,假若最新的快照是在電腦中毒及感染 NAS 後擷取,亦可以選擇再對上的一個快照。

 

選擇好合適的快照備份之後,可以選擇將整個快照還原,把磁碟機資料夾還原成當時快照的模樣,只需短短數分鐘的時間,原先所有被加密的檔案都回復成未受感染的狀況,而病毒所遺留的解密方法及檔案都一慨被移除掉,將 NAS 重新連接網絡後,就好像沒發生任何事一樣,能夠繼續如常運作。不過快照只能夠還原 NAS 的檔案,而電腦的檔案就只能夠暴力破解或繳付贖金去進行解密,所以為何資料備份是這樣的重要。

 

Snapshot

中毒後、在 QNAP QTS 的快照管理員、點選事發前的一次快照備份、用家可同時檢查快照內容是否合適

Snapshot

點選還原後、系統會將 NAS 的檔案復原至快照時的模樣

 

如果用家設置的快照頻密程度不高,在快照擷取與感染病毒之間新增了不同檔案,而又不想在還原快照時被蓋過,其實亦有兩個方法:第一可以將需要的檔案移離受感染區,然後才還原快照。第二, QNAP 的快照還原功能可以將檔案還原先到其他地方,然後用家再按需要再自行移動及修改,總之在病毒感染 NAS 裡面的檔案前進行過快照擷取,成功還原檔案的機會可謂十拿九穩。

 

Snapshot

轉眼間原本因被加密而無法打開的檔案都變成毒發前的樣式

Snapshot

不但能夠順利開啟檔案、病毒留下的解密方式等檔案都被完全清除、將 NAS 100% 還原到上次快照的模樣

 

其實 QNAP 的快照功能除了在類似今次的 Locker 病毒發作時能夠發揮作用之外,其實在日常運作亦都有不同的優點,以 Windows 為例,掛載網絡連碟機並打開需要的資料夾後,右擊點選內容,會見到一個「」的分頁,內裡會顯示過往的資料夾版本,實際運作與 QTS 的快照還原非常相似,可以打開預覽檔案、直接套用還原、或還原到指定位置。

 

Snapshot

其實開啟了快照功能後、在一般情況下作業系統裡面都能夠直接還原網絡磁碟機裡面的資料夾及檔案

Snapshot

資料夾通過復原後、其效果與在 QTS 裡面進行一樣

 

對於辦公室環境來說,快照功能啟用後,能夠防止中毒後影響檔案,檔案亦會在快照排程進行後作出一個保存,可以隨時還原或預覽一定時間前的版本,甚至用家錯手將整個資料夾刪除,亦可以通過對上一次的快照備份,在裡面抽出被刪除資料夾。反正現時 NAS 以及硬碟機售價下跌,只需劃出部份容量就可以設置快照功能,簡單方便之餘,更重要的是「資料無價」,假設倘若如果萬一不小心出事,就會親身感受到這個功能是何其重要。但用家要切記,這個快照功能只可以確保 NAS 的檔案,而受中毒感染電腦內的檔案仍無法解決,所以都是建議用家將檔案長期存放在 NAS 或多加備份,以確保安全。

 

 

發表評論