Czy Historia plików systemu Windows 10 chroni przed złośliwym oprogramowaniem kryptograficznym

11

Czy zapisane dane generowane przez funkcję historii plików systemu Windows 10 są odizolowane od użytkowników i administratorów? Pytam o to po przeczytaniu ostatniego ataku kryptograficznego na maszyny OSX, w których kopie zapasowe wehikułu czasu były bezpieczne, ponieważ pliki są dostępne tylko dla specjalnego użytkownika i nawet przy dostępie do dysku złośliwe oprogramowanie nie było w stanie zaszyfrować magazynu danych wehikułu czasu .

Zastanawiałem się, czy funkcja systemu Windows 10 zapewnia podobną ochronę. Pytanie jest podobne do tego, ale odpowiedzi po prostu sugerują różne strategie tworzenia kopii zapasowych i nie odpowiadają na pytanie.

Uwaga: Zdaję sobie sprawę, że najbezpieczniejszym rozwiązaniem jest tworzenie kopii zapasowych na dyskach, które są fizycznie odłączone, nie trzeba sugerować, że - szukam tylko konkretnej odpowiedzi na to pytanie

windows-10 backup malware George Kendros
źródło
Czy w jakiś sposób jest to kopia zapasowa poza maszyną? W takim razie nie.
Fiasco Labs

Odpowiedzi:

9

Nie z nowszymi wariantami popularnych schematów ransomware. Jedną z pierwszych rzeczy, które zrobią, jest usunięcie kopii zapasowych plików przed zaszyfrowaniem podstawowych.

Jeśli klucz nie jest dostępny przy użyciu powyższych metod, jedynymi metodami przywracania plików są kopie zapasowe lub kopie woluminów w tle, jeśli włączone jest Przywracanie systemu. Nowsze warianty CryptoLocker próbują usunąć kopie w tle, ale nie zawsze się to udaje. Więcej informacji na temat przywracania plików za pomocą funkcji kopiowania woluminów w tle można znaleźć w tej sekcji poniżej.

Wygląda na to, że metoda wykorzystywana przez szkodliwe oprogramowanie do wyłączania funkcji historii (kopie w tle, wewnętrznie) nie zawsze jest skuteczna, ale nie warto na niej polegać.

Biorąc pod uwagę, że działa złośliwe oprogramowanie z uprawnieniami do dotykania każdego pliku na komputerze, naprawdę nie możesz ufać żadnemu mechanizmowi obronnemu komputera, aby zatrzymać proces po jego aktywacji. Jedynym pewnym sposobem na uniknięcie tych problemów jest nie wykonanie szkodliwego oprogramowania w pierwszej kolejności.

Mikey TK
źródło
Jedną z podstępnych rzeczy związanych z oprogramowaniem ransomware jest to, że może wyrządzić znaczne szkody, nawet bez „uruchamiania z uprawnieniami do dotykania każdego pliku na komputerze”.
Ben Voigt,
To nie jest coś, na czym nie chciałbym polegać w 100%. Nadal będę mieć kopie zapasowe na fizycznie odłączonym dysku. Problem polega na tym, że są one wykonywane rzadziej i zwykle mają starszą wersję plików (i potencjalnie całkowicie brakuje wielu plików). Szukałem towarzyszącego systemu do tworzenia kopii zapasowych, który uruchamia aktualną kopię zapasową na podłączonym urządzeniu, ale zawiera pewne techniki ograniczania ryzyka, aby zapobiec bezpośredniemu nadpisaniu przez magazyn danych danych przez złośliwe oprogramowanie. Coś jak Time Machine na OS X (który okazał się bezpieczny podczas ostatniego ataku).
George Kendros,
1
Trudne, jeśli nie niemożliwe - fakt, że masz „podłączone urządzenie” oznacza, że ​​złośliwe oprogramowanie ma taki sam dostęp do niego, jak Ty. Jedyne dobre kopie zapasowe są offline. To powiedziawszy, złagodzeniem może być użycie urządzenia takiego jak napęd taśm LTO (obecnie stają się tanie), a następnie specjalnego oprogramowania do tworzenia kopii zapasowych, takiego jak Bareos lub Networker. Nie znam złośliwego oprogramowania atakującego kopie zapasowe taśm. Mogą jednak istnieć, więc uważaj :)
Mikey TK
Gdybym miał korzystać z dedykowanych urządzeń, prawdopodobnie łatwiej byłoby uruchomić okno, które może zobaczyć / uzyskać dostęp do wszystkich plików na moim komputerze, ale które jest całkowicie niewidoczne dla mojego głównego komputera. Jeśli chodzi o taki sam dostęp do podłączonego urządzenia jak ja, myślę, że zaletą Time Machine było to, że użytkownik, a nawet administrator nie miał dostępu. Zrobił to tylko agent kopii zapasowej i najwyraźniej nawet gdy złośliwe oprogramowanie zostało podniesione do poziomu administratora, nie był w stanie dotknąć tych danych.
George Kendros,