O histórico de arquivos do Windows 10 protege contra malware de criptografia

11

Os dados salvos gerados pelo recurso de histórico de arquivos do Windows 10 são isolados de usuários e administradores? Estou perguntando isso depois de ler o recente ataque de criptografia contra máquinas OSX, onde os backups das máquinas do tempo eram seguros, porque os arquivos são acessíveis apenas a um usuário especial e, mesmo com acesso à unidade, o malware não conseguiu criptografar o armazenamento de dados da máquina do tempo .

Eu queria saber se o recurso do Windows 10 oferece proteção semelhante. Há uma pergunta semelhante a isso, mas as respostas simplesmente sugerem diferentes estratégias de backup e, na verdade, não respondem à pergunta.

observação: percebo que a solução mais segura envolve fazer backup em unidades fisicamente desconectadas, não há necessidade de sugerir que - só estou procurando uma resposta específica para esta pergunta

windows-10 backup malware George Kendros
fonte
É feito o backup da máquina de alguma forma? Então não.
Fiasco Labs

Respostas:

9

Não com as variantes mais recentes dos esquemas comuns de ransomware. Uma das primeiras coisas que eles farão é remover as cópias de backup dos arquivos antes de criptografar os principais.

Se sua chave não estiver disponível usando os métodos acima, os únicos métodos que você tem para restaurar seus arquivos são de um backup ou de cópias de volume de sombra se a Restauração do sistema estiver ativada. As variantes mais recentes do CryptoLocker tentam excluir as cópias de sombra, mas isso nem sempre é bem-sucedido. Mais informações sobre como restaurar seus arquivos através de cópias de volume de sombra podem ser encontradas nesta seção abaixo.

Parece que o método usado pelo malware para desativar o recurso de histórico (cópias de sombra, internamente) nem sempre é bem-sucedido, mas não vale a pena confiar nele.

Considerando que há malware executando com permissões para tocar em todos os arquivos do seu computador, você realmente não pode confiar em nenhum dos mecanismos de defesa do seu computador para interromper o processo após a ativação. A única maneira certa de evitar esses problemas é não executar o malware em primeiro lugar.

Mikey TK
fonte
Uma das coisas insidiosas sobre o ransomware é que ele pode causar danos significativos, mesmo sem "executar com permissões para tocar em todos os arquivos do seu computador".
Ben Voigt
Não é algo que eu não deva confiar 100%. Ainda terei meus backups em uma unidade fisicamente desconectada. O problema é que essas tarefas são realizadas com menos frequência e geralmente possuem uma versão mais antiga dos arquivos (e, potencialmente, muitos arquivos estão em falta). Eu estava procurando por um sistema de backup complementar que executa um backup atualizado em um dispositivo conectado, mas contém algumas técnicas de mitigação para tentar impedir que malware substitua diretamente seu armazenamento de dados. Algo como o Time Machine no OS X (que provou ser seguro no ataque recente).
George Kendros
1
Difícil, se não impossível - o fato de você ter um "dispositivo conectado" significa que o malware tem o mesmo acesso que você. Os únicos bons backups estão offline. Dito isso, uma atenuação pode ser o uso de um dispositivo como uma unidade de fita LTO (eles estão ficando baratos hoje em dia) e, em seguida, algum software de backup dedicado como o Bareos ou o Networker. Não conheço nenhum malware direcionado a backups em fita. Eles podem existir, porém, por isso tome cuidado :)
Mikey TK
Se eu fosse usar dispositivos dedicados, provavelmente seria mais fácil executar uma caixa que pode ver / acessar todos os arquivos no meu computador, mas que é completamente invisível para o meu computador principal. Em termos de ter o mesmo acesso a um dispositivo conectado que eu, acho que o benefício do Time Machine era que um usuário ou mesmo administrador não tinha acesso. Somente o agente de backup o fez e, aparentemente, mesmo quando o malware foi elevado a administrador, ele não conseguiu tocar nesses dados.
George Kendros