Backup, nebo back‑upí? 3 scénáře, kdy tě šifrovací malware sežere k snídani
„Máme zálohy.“ – „A testuješ je?“ – ticho. Ransomware neodpouští, když ti disky jen tiše bzučí. Dnes projedeme tři realistické scénáře útoku a ukážeme, jak přežít díky pravidlu 3‑2‑1, snapshotům a air‑gap zálohám.
1 · Proč pořád selháváme v zálohování
Statistika Veeam 2024: 76 % firem zasáhl ransomware, 32 % nezískalo data ze záloh kvůli „backup coruption“. Nejčastější chyby:
- Monozáloha – jedna NAS, jeden RAID, jeden osud.
- Bez testu – backup successful ≠ restore schopný bootu.
- Šifra i v NAS – SMB share bez snapshotů, malware šifruje i *.bak.
- Chybějící offline kopie – cloud ≈ online; útočník smaže i S3.
2 · Pravidlo 3‑2‑1 v praxi
3 kopie dat, na 2 různých médiích, minimálně 1 offline/off‑site.
| Kopie | Médium | Lokace |
|---|---|---|
| Produkční data | NVMe RAID | On‑prem DC |
| Záloha 1 | ZFS pool + snap | On‑prem NAS |
| Záloha 2 | S3 Object‑Lock | Cloud region EU‑central |
Přidej verzování (90 dní minimálně) + immutability pro S3 a máš solidní základ.
3 · Scénář #1 – Kryptolocker na souborovém serveru
3.1 Útok
Uživatel otevře faktura.iso, spustí JS, ransomware přes SMB zašifruje \\FILESRV\data.
3.2 Obrana
- Shadow Copy + 24h – rychlá obnova jednotlivých souborů.
- ZFS snapshot každou hodinu / 48 hodin retenční okno.
- Immutable S3 sync přes Rclone s parametrem
--s3-bucket-lock.
3.3 Obnova
# roll back z nejnovějšího snapshotu
zfs rollback data_pool/files@auto-6h-20250501-1200Doba down‑time ± 5 minut, ztráta dat ≤ 1 hodina.
4 · Scénář #2 – Double‑extortion útok na MSSQL
4.1 Útok
Zranitelný SQL Server (xp_cmdshell) stáhne ransom EXE, zašifruje MDF i BAK, útočník odčerpá data a vyhrožuje zveřejněním.
4.2 Obrana
- Full + DIFF + TLOG do separátní share s SMB signing.
- Backup encryption (
WITH ENCRYPTIONAES256 + certificate). - Block public IP; SQL jen VPN/LAN.
- DLP rules pro exfiltrované CSV.
4.3 Obnova
RESTORE DATABASE Sales FROM DISK='\\nas\sql\sales_full_0501.bak' WITH NORECOVERY;
RESTORE DATABASE Sales FROM DISK='\\nas\sql\sales_diff_0502.bak' WITH NORECOVERY;
RESTORE LOG Sales FROM DISK='\\nas\sql\sales_tlog_0502_2355.trn' WITH RECOVERY;RPO max 15 min, RTO cca 20 min.
5 · Scénář #3 – Insider smaže cloud bucket
5.1 Útok
Admin odejde, v S3 GUI kliká Empty bucket, vymaže dumpy i verze.
5.2 Obrana
- Object‑Lock (WORM) –
Compliance mode30 dní, žádný admin nesmaže. - Cross‑region replica – Bucket B v jiném účtu.
- CloudTrail alarm – okamžitý SNS alert na DeleteBucket.
5.3 Obnova
Promote replicu → re‑import terraform state.
6 · Skripty a automaty pro Windows & Linux
6.1 PowerShell – 3‑2‑1 do Azure Blob
$src = "D:\Backups"
$acct = "webseidonstorage"
$cont = "offsite"
azcopy copy $src "https://$acct.blob.core.windows.net/$cont?sas-token" --recursive
az storage blob immutability-policy set --container-name $cont --period 306.2 Bash – rsync + Btrfs snapshot
rsync -a --delete /data/ /mnt/nas/data/
btrfs subvolume snapshot -r /mnt/nas/data /mnt/nas/.snapshots/$(date +%F_%H%M)
find /mnt/nas/.snapshots -maxdepth 1 -mtime +30 -exec btrfs subvolume delete {} \;7 · Air‑gap, WORM a immutable storage
Air‑gap = fyzická nebo logická izolace. Možnosti:
- Tape LTO‑9 – 18 TB native, offline v sefu.
- RDX cartridge – USB disk s write‑protect switch.
- Cloud Object‑Lock (Backblaze B2, AWS S3, Wasabi Hot).
- ZFS send na externí disk, odpojit USB.
Immutable storage ≠ air‑gap, ale brání mazání/šifrování script‑kiddo útočníka.
8 · Disaster Recovery drill: měř, nehádej
- Pick a day – 1× kvartál simuluješ totální výpadek.
- RTO / RPO stopky – měř čas do obnovy a ztrátu dat.
- Dokumentuj – ticket + post‑mortem, aktualizuj runbook.
- Automat CI/CD – GitLab CI job spustí VM ze zálohy, provede health‑check.
9 · Checklist týdne zálohování
- Kontrola poslední zálohy bez chyb.
- Random restore souboru / VM.
- Ověření off‑site kopie – checksum hash.
- Test ransomware honeypot souboru (
Canary.txt). - Logy cron / Task Scheduler žádné chyby.
- Aktuální patch level backup serveru.
- Rotace šifrovacích klíčů < 1 rok.
10 · FAQ: zálohy vs. archiv
- Můžu smazat staré zálohy po měsíci?
- Záleží na právních požadavcích – účetnictví 5–10 let, GDPR – doba nezbytná.
- RAID není backup?
- Správně. RAID řeší dostupnost, ne
logické mazání nebo šifro‑útok. - Stačí snapshoty?
- Ne. Snapshot je na stejném storage poolu. Ransomware je smaže, pokud má root.
11 · Závěr
Když tě ráno probudí SMS „Files encrypted“, je pozdě přemýšlet, kde je vlastně poslední BAK. Dodrž pravidlo 3‑2‑1, přidej jednu air‑gap kopii a hlavně – restore test. Záloha, kterou jsi nevyzkoušel, je jen placebo na SSD.
Klíčová slova
backup strategie, ransomware ochrana, 3-2-1 pravidlo, offsite záloha, snapshot, air gap, disaster recovery, cloud backup, nas synology backup, verze dat, šifrovací malware, bdr
