Ransomware是从IT环境发展到公共互联网的一种新现象。黑客获得了计算机系统和加密数据，只有在支付赎金后才提供加密密钥或解锁数据。

即使使用最严格的安全规则，总是存在通过其他途径（通常为社会工程）获取的真实凭证来破坏系统的风险。这意味着需要额外的保护层，以确保数据可以恢复，而不是支付数据以获取数据。

考虑到这一点，这里有一些关于ransomware备份的该做和不该做的事情。

定期备份所有数据。任何备份系统都应以业务需求为依据。还应该确保在ransomware攻击后丢失的数据量尽可能地最少。

检查备份的状态。确保备份成功完成，并尽快解决任何问题。不要等到在发生故障后重新运行ransomware备份。

有一些离线备份副本。存储在磁带或其他离线媒体上的数据并不像在线备份那样容易受损。如果主数据被破坏，黑客也可能尝试破坏ransomware备份系统以防止恢复。离线备份可以降低这种风险。

执行定期恢复测试。了解数据备份是非常好的，但你应该验证恢复是否正常工作。不要等到需要恢复时才知道它是否有效。

构建数据验证测试以恢复检查。恢复后如何确保数据仍然有效？一种方法是创建位于文件系统中的虚拟或代理数据，并作为检查内容的控件。如果虚拟文件与已知的良好值相比发生了更改，则应怀疑数据已被泄露。

不要在任何事情上使用相同的凭证。备份凭据应仅用于此目的。获得凭证的人越多，他们越有可能受到威胁。

查看跟踪可疑行为。除了验证恢复之外，还有其他的功能。例如，如果数据被加密，增量备份大小会大大增加。这可能表示数据已被破坏。

在ransomware备份和恢复过程中设计弹性，并对环境中的变化保持警惕，因为早期检测是关键。