Чи захищає історія файлів Windows 10 від криптовалюти

Чи збережені дані, згенеровані функцією історії файлів Windows 10, ізольовані від користувачів та адміністраторів? Я запитую це, прочитавши нещодавню крипто-атаку проти машин OSX, де резервні копії машин часу були безпечними, оскільки файли доступні лише спеціальному користувачеві і навіть з доступом до накопичувача, зловмисне програмне забезпечення не змогло зашифрувати сховище даних машини машини. .

Мені було цікаво, чи забезпечує функція Windows 10 подібний захист. Питання подібне до цього, але відповіді просто пропонують різні стратегії резервного копіювання і насправді не відповідають на це питання.

зауважте: я розумію, що найбезпечніше рішення передбачає резервне копіювання накопичувачів, які фізично відключені, немає потреби вказувати на це - я шукаю лише конкретну відповідь на це питання

windows-10 backup malware

— Джордж Кендрос
джерело

Це якось резервне копіювання з машини? Тоді ні.

— Лабораторії Фіаско

Не з новими варіантами поширених схем викупу. Одне з перших речей, яке вони зроблять - це сміття резервних копій файлів перед шифруванням первинних.

Якщо ваш ключ недоступний за допомогою перерахованих вище методів, єдиним способом відновлення файлів є резервна копія або Shadow Volume Copies, якщо у вас активовано відновлення системи. Новіші варіанти CryptoLocker намагаються видалити Shadow Copies, але це не завжди є успішним. Більш детальну інформацію про відновлення файлів за допомогою Shadow Volume Copies можна знайти в цьому розділі нижче.

Схоже, метод, який використовується зловмисним програмним забезпеченням для відключення функції історії (тіньові копії, внутрішньо), не завжди є успішним, але на це навряд чи варто покладатися.

Зважаючи на наявність зловмисного програмного забезпечення з дозволами на торкання кожного файлу на вашому комп'ютері, ви не можете довіряти жодному із захисних механізмів вашого комп'ютера, щоб зупинити процес після його активації. Єдиний вірний спосіб уникнути цих проблем - це не виконувати зловмисне програмне забезпечення в першу чергу.

— Mikey TK
джерело

Однією з підступних речей про викупне програмне забезпечення є те, що він може завдати значної шкоди, навіть не "запускаючи дозволи торкатися кожного файлу на вашому комп'ютері".

— Ben Voigt

Я не хочу покладатися на 100%. У мене все ще будуть резервні копії на фізично відключеному диску. Проблема полягає в тому, що вони робляться рідше і, як правило, мають більш стару версію файлів (і, можливо, буде повністю відсутні багато файлів). Я шукав супутню систему резервного копіювання, яка виконує сучасну резервну копію на підключеному пристрої, але містить деякі методи пом'якшення, щоб спробувати запобігти шкідливому програмному продукту безпосередньо перезаписувати його сховище даних. Щось схоже на Time Machine на OS X (що виявилося безпечним у недавній атаці).

— Джордж Кендрос

Важко, якщо не неможливо - той факт, що у вас є "підключений пристрій", означає, що зловмисне програмне забезпечення має той самий доступ до нього, як і ви. Єдині хороші резервні копії - це офлайн. Однак, пом'якшенням може бути використання такого пристрою, як LTO-накопичувач (вони зараз дешеві), а потім деякі спеціальні програми для резервного копіювання, такі як Bareos або Networker. Мені відомо, що немає зловмисного програмного забезпечення, яке б націляло на резервне копіювання стрічок. Вони, можливо, існують, тому будьте обережні :)

— Mikey TK

Якби я збирався використовувати спеціалізовані пристрої, можливо, було б просто простіше запустити вікно, яке може бачити / отримувати доступ до всіх файлів на моєму комп’ютері, але це абсолютно непомітно для мого основного комп'ютера. З точки зору наявності такого ж доступу до підключеного пристрою, що і я, я вважаю, що перевагою Time Machine було те, що користувач або навіть адміністратор не мали доступу. Тільки резервний агент це робив і, мабуть, навіть коли зловмисне програмне забезпечення підвищено до адміністратора, він не зміг торкнутися цих даних.

— Джордж Кендрос