Apakah Windows 10 File History melindungi dari malware crypto

11

Apakah data yang disimpan dihasilkan oleh fitur riwayat file Windows 10 terisolasi dari pengguna dan administrator? Saya bertanya ini setelah membaca tentang serangan crypto baru-baru ini terhadap mesin OSX di mana cadangan mesin waktu aman karena file hanya dapat diakses oleh pengguna khusus dan bahkan dengan akses ke drive malware tidak dapat mengenkripsi penyimpanan data mesin waktu .

Saya bertanya-tanya apakah fitur Windows 10 menyediakan perlindungan serupa. Ada pertanyaan serupa dengan ini tetapi jawabannya hanya menyarankan strategi cadangan yang berbeda dan tidak benar-benar menjawab pertanyaan.

Catatan: Saya menyadari bahwa solusi yang paling aman adalah membuat cadangan ke drive yang secara fisik tidak terhubung, tidak perlu menyarankan bahwa - Saya hanya mencari jawaban spesifik untuk pertanyaan ini

windows-10 backup malware George Kendros
sumber
Apakah itu didukung mesin entah bagaimana? Lalu, tidak.
Fiasco Labs

Jawaban:

9

Tidak dengan varian skema ransomware yang lebih baru. Salah satu hal pertama yang akan mereka lakukan adalah membuang salinan cadangan file sebelum mengenkripsi yang primer.

Jika kunci Anda tidak tersedia menggunakan metode di atas, satu-satunya metode yang Anda miliki untuk memulihkan file Anda adalah dari cadangan atau Shadow Volume Copies jika Anda mengaktifkan Pemulihan Sistem. Varian CryptoLocker yang lebih baru berupaya menghapus Shadow Copies, tetapi itu tidak selalu berhasil. Informasi lebih lanjut tentang cara mengembalikan file Anda melalui Shadow Volume Copies dapat ditemukan di bagian di bawah ini.

Tampaknya metode yang digunakan oleh malware untuk menonaktifkan fitur histori (salinan bayangan, secara internal) tidak selalu berhasil, tetapi sulit untuk diandalkan.

Mengingat ada malware yang berjalan dengan izin untuk menyentuh setiap file di komputer Anda, Anda benar-benar tidak dapat mempercayai mekanisme pertahanan komputer Anda untuk menghentikan proses setelah diaktifkan. Satu-satunya cara pasti untuk menghindari masalah ini adalah dengan tidak mengeksekusi malware sejak awal.

Mikey TK
sumber
Salah satu hal berbahaya tentang ransomware adalah dapat merusak secara signifikan, bahkan tanpa "berjalan dengan izin untuk menyentuh setiap file di komputer Anda".
Ben Voigt
Itu bukan sesuatu yang saya tidak bisa mengandalkan 100%. Saya masih memiliki cadangan pada drive yang terputus secara fisik. Masalahnya adalah ini lebih jarang dilakukan dan biasanya akan memiliki versi file yang lebih lama (dan berpotensi akan kehilangan banyak file). Saya sedang mencari sistem cadangan pendamping yang menjalankan cadangan terbaru pada perangkat yang terhubung tetapi berisi beberapa teknik mitigasi untuk mencoba dan mencegah malware dari langsung menimpa penyimpanan data itu. Sesuatu seperti Time Machine pada OS X (yang terbukti aman dalam serangan baru-baru ini).
George Kendros
1
Keras jika bukan tidak mungkin - fakta bahwa Anda memiliki "perangkat yang terhubung" berarti bahwa malware memiliki akses yang sama dengan yang Anda lakukan. Satu-satunya cadangan yang baik adalah offline. Yang mengatakan, mitigasi mungkin menggunakan perangkat seperti tape drive KPP (mereka semakin murah saat ini) dan kemudian beberapa perangkat lunak cadangan khusus seperti Bareos atau Networker. Saya mengetahui tidak ada malware yang menargetkan backup tape. Mereka mungkin ada, jadi waspadalah :)
Mikey TK
Jika saya akan pergi dengan perangkat khusus, mungkin hanya akan lebih mudah untuk menjalankan kotak yang dapat melihat / mengakses semua file di komputer saya tetapi yang sama sekali tidak terlihat oleh komputer utama saya. Dalam hal memiliki akses yang sama ke perangkat yang terhubung dengan saya, saya pikir manfaat dari Time Machine adalah bahwa pengguna atau bahkan admin tidak memiliki akses. Hanya agen cadangan yang melakukannya dan tampaknya bahkan ketika malware diangkat ke admin, itu tidak dapat menyentuh data ini.
George Kendros