La cronologia dei file di Windows 10 protegge dai malware crittografici

I dati salvati generati dalla funzionalità di cronologia dei file di Windows 10 sono isolati da utenti e amministratori? Lo sto chiedendo dopo aver letto del recente attacco crittografico contro macchine OSX in cui i backup delle macchine a tempo erano sicuri perché i file sono accessibili solo a un utente speciale e anche con l'accesso all'unità il malware non era in grado di crittografare l'archivio dati della macchina a tempo .

Mi chiedevo se la funzionalità di Windows 10 offre una protezione simile. C'è una domanda simile a questa, ma le risposte suggeriscono semplicemente diverse strategie di backup e in realtà non rispondono alla domanda.

nota: mi rendo conto che la soluzione più sicura prevede il backup su unità che sono fisicamente disconnesse, non è necessario suggerire che - sto solo cercando una risposta specifica a questa domanda

windows-10 backup malware

— George Kendros
fonte

È in qualche modo eseguito il backup dalla macchina? Allora no.

— Fiasco Labs

Non con le nuove varianti degli schemi ransomware comuni. Una delle prime cose che faranno è cestinare le copie di backup dei file prima di crittografare quelle primarie.

Se la chiave non è disponibile utilizzando i metodi sopra indicati, gli unici metodi disponibili per ripristinare i file provengono da un backup o da copie del volume ombra se è abilitato Ripristino configurazione di sistema. Le varianti più recenti di CryptoLocker tentano di eliminare le copie shadow, ma non sempre hanno esito positivo. Ulteriori informazioni su come ripristinare i file tramite Shadow Volume Copies sono disponibili in questa sezione di seguito.

Sembra che il metodo utilizzato dal malware per disabilitare la funzione di cronologia (copie shadow, internamente) non abbia sempre successo, ma non vale la pena fare affidamento.

Considerando che esiste un malware in esecuzione con autorizzazioni per toccare ogni file sul tuo computer, non puoi davvero fidarti di nessuno dei meccanismi di difesa del tuo computer per interrompere il processo una volta attivato. L'unico modo sicuro per evitare questi problemi è di non eseguire il malware in primo luogo.

— Mikey TK
fonte

Una delle cose insidiose del ransomware è che può causare danni significativi, anche senza "correre con le autorizzazioni per toccare ogni file sul tuo computer".

— Ben Voigt

Non è qualcosa su cui non voglio contare al 100%. Avrò ancora i miei backup su un'unità scollegata fisicamente. Il problema è che questi vengono eseguiti meno frequentemente e in genere avranno una versione precedente dei file (e potenzialmente mancheranno completamente molti file). Stavo cercando un sistema di backup associato che esegue un backup aggiornato su un dispositivo collegato ma contiene alcune tecniche di mitigazione per cercare di impedire al malware di sovrascrivere direttamente il suo archivio dati. Qualcosa come Time Machine su OS X (che si è rivelato sicuro nel recente attacco).

— George Kendros, l'

Difficile se non impossibile: il fatto che tu abbia un "dispositivo connesso" significa che il malware ha lo stesso accesso a te. Gli unici buoni backup sono offline. Detto questo, una soluzione potrebbe essere l'uso di un dispositivo come un'unità nastro LTO (stanno diventando economici oggi) e quindi alcuni software di backup dedicati come Bareos o Networker. Sono a conoscenza di nessun malware che ha come target i backup su nastro. Potrebbero esistere però, quindi attenzione :)

— Mikey TK

Se avessi intenzione di utilizzare dispositivi dedicati, sarebbe probabilmente più semplice eseguire una casella in grado di visualizzare / accedere a tutti i file sul mio computer ma che è completamente invisibile al mio computer principale. In termini di avere lo stesso accesso a un dispositivo connesso come me, penso che il vantaggio di Time Machine sia stato che un utente o anche l'amministratore non avevano accesso. Solo l'agente di backup ha fatto e apparentemente anche quando il malware è stato elevato all'amministratore, non è stato in grado di toccare questi dati.

— George Kendros, l'