Защищает ли история файлов Windows 10 от криптовалют

11

Являются ли сохраненные данные, созданные функцией истории файлов Windows 10, изолированными от пользователей и администраторов? Я спрашиваю об этом после прочтения недавней крипто-атаки на машины OSX, где резервное копирование машины времени было безопасным, поскольку файлы доступны только для специального пользователя, и даже при доступе к диску вредоносная программа не смогла зашифровать хранилище данных машины времени. ,

Мне было интересно, если функция Windows 10 обеспечивает аналогичную защиту. Существует похожий вопрос, но ответы просто предлагают различные стратегии резервного копирования и фактически не отвечают на вопрос.

примечание: я понимаю, что наиболее безопасное решение включает резервное копирование на диски, которые физически отключены, нет необходимости предлагать это - я только ищу конкретный ответ на этот вопрос

windows-10 backup malware Джордж Кендрос
источник
Это как-то резервное копирование с машины? Тогда нет.
Fiasco Labs

Ответы:

9

Не с более новыми вариантами общих схем вымогателей. Первое, что они сделают, - очистят резервные копии файлов перед шифрованием основных.

Если ваш ключ недоступен с помощью описанных выше методов, единственными способами восстановления файлов являются резервные копии или теневые тома, если у вас включено восстановление системы. Более новые варианты CryptoLocker пытаются удалить теневые копии, но это не всегда успешно. Более подробную информацию о том, как восстановить ваши файлы с помощью теневых томов, можно найти в этом разделе ниже.

Похоже, что метод, используемый вредоносной программой для отключения функции истории (теневые копии, внутри), не всегда успешен, но вряд ли стоит полагаться на него.

Принимая во внимание, что существует вредоносная программа, работающая с правами доступа к каждому файлу на вашем компьютере, вы не можете доверять никаким механизмам защиты вашего компьютера, чтобы остановить процесс после его активации. Единственный верный способ избежать этих проблем - не запускать вредоносное ПО в первую очередь.

Майки Т.К.
источник
Одна из коварных вещей, связанных с вымогательством, заключается в том, что он может нанести значительный ущерб даже без «запуска с правами доступа к каждому файлу на вашем компьютере».
Бен Фойгт
Это не то, на что я не хочу полагаться на 100%. У меня все еще будут резервные копии на физически отключенном диске. Проблема заключается в том, что они выполняются не так часто и, как правило, имеют более старую версию файлов (и потенциально могут пропустить множество файлов). Я искал сопутствующую систему резервного копирования, которая выполняет современное резервное копирование на подключенном устройстве, но содержит некоторые методы смягчения, чтобы попытаться предотвратить непосредственное перезапись вредоносным ПО своего хранилища данных. Что-то вроде Time Machine на OS X (которая оказалась безопасной в недавней атаке).
Джордж Кендрос
1
Трудно, если не невозможно - тот факт, что у вас есть «подключенное устройство», означает, что вредоносная программа имеет такой же доступ к ней, как и вы. Единственные хорошие резервные копии находятся в автономном режиме. Тем не менее, можно уменьшить использование устройства, такого как ленточный накопитель LTO (в настоящее время они дешевеют), а затем какого-либо специального программного обеспечения для резервного копирования, такого как Bareos или Networker. Я не знаю ни одной вредоносной программы, предназначенной для резервного копирования на ленту. Они могут существовать, хотя, так что будьте осторожны :)
Мики TK
Если бы я собирался использовать специальные устройства, возможно, было бы проще запустить окно, которое может видеть / получать доступ ко всем файлам на моем компьютере, но которое полностью невидимо для моего основного компьютера. Что касается того же доступа к подключенному устройству, что и у меня, я думаю, что преимущество Time Machine заключалось в том, что у пользователя или даже администратора не было доступа. Это сделал только агент резервного копирования, и, по-видимому, даже когда вредоносная программа была повышена до уровня администратора, она не смогла коснуться этих данных.
Джордж Кендрос