¿El historial de archivos de Windows 10 protege contra el malware criptográfico?

11

¿Los datos guardados generados por la función de historial de archivos de Windows 10 están aislados de los usuarios y administradores? Pregunto esto después de leer el reciente ataque criptográfico contra máquinas OSX donde las copias de seguridad de la máquina del tiempo estaban seguras porque los archivos solo son accesibles para un usuario especial e incluso con acceso a la unidad, el malware no pudo cifrar el almacén de datos de la máquina del tiempo .

Me preguntaba si la característica de Windows 10 proporciona una protección similar. Hay una pregunta similar a esto, pero las respuestas simplemente sugieren diferentes estrategias de respaldo y en realidad no responden la pregunta.

nota: me doy cuenta de que la solución más segura implica hacer copias de seguridad en unidades que están físicamente desconectadas, no hay necesidad de sugerir que: solo estoy buscando una respuesta específica a esta pregunta

windows-10 backup malware George Kendros
fuente
¿Está respaldado de alguna manera por la máquina? Entonces no.
Fiasco Labs

Respuestas:

9

No con las nuevas variantes de los esquemas comunes de ransomware. Una de las primeras cosas que harán es tirar a la basura las copias de seguridad de los archivos antes de cifrar los archivos primarios.

Si su clave no está disponible utilizando los métodos anteriores, los únicos métodos que tiene para restaurar sus archivos es desde una copia de seguridad o Instantáneas de volumen si tiene la Restauración del sistema habilitada. Las variantes más nuevas de CryptoLocker intentan eliminar las instantáneas, pero no siempre tiene éxito. Puede encontrar más información sobre cómo restaurar sus archivos a través de Shadow Volume Copies en esta sección a continuación.

Parece que el método utilizado por el malware para deshabilitar la función de historial (instantáneas, internamente) no siempre es exitoso, pero apenas vale la pena confiar en él.

Teniendo en cuenta que hay malware que se ejecuta con permisos para tocar cada archivo en su computadora, realmente no puede confiar en ninguno de los mecanismos de defensa de su computadora para detener el proceso una vez que se ha activado. La única forma segura de evitar estos problemas es no ejecutar el malware en primer lugar.

Mikey TK
fuente
Una de las cosas insidiosas sobre el ransomware es que puede causar un daño significativo, incluso sin "ejecutarse con permisos para tocar cada archivo en su computadora".
Ben Voigt
No es algo en lo que quiera confiar al 100%. Todavía tendré mis copias de seguridad en una unidad desconectada físicamente. El problema es que se realizan con menos frecuencia y generalmente tendrán una versión anterior de los archivos (y posiblemente falten muchos archivos por completo). Estaba buscando un sistema de copia de seguridad complementario que ejecute una copia de seguridad actualizada en un dispositivo conectado pero que contenga algunas técnicas de mitigación para tratar de evitar que el malware sobrescriba directamente su almacén de datos. Algo así como Time Machine en OS X (que resultó ser seguro en el ataque reciente).
George Kendros
1
Difícil si no imposible: el hecho de que tenga un "dispositivo conectado" significa que el malware tiene el mismo acceso que usted. Las únicas copias de seguridad buenas están fuera de línea. Dicho esto, una mitigación podría ser usar un dispositivo como una unidad de cinta LTO (se están volviendo baratos hoy en día) y luego algún software de respaldo dedicado como Bareos o Networker. Soy consciente de que no hay malware que se dirija a copias de seguridad en cinta. Sin embargo, pueden existir, así que ten cuidado :)
Mikey TK
Si fuera a utilizar dispositivos dedicados, probablemente sería más fácil ejecutar un cuadro que pueda ver / acceder a todos los archivos de mi computadora pero que sea completamente invisible para mi computadora principal. En términos de tener el mismo acceso a un dispositivo conectado que yo, creo que el beneficio de Time Machine fue que un usuario o incluso un administrador no tenían acceso. Solo el agente de copia de seguridad lo hizo y, aparentemente, incluso cuando el malware se elevó a administrador, no pudo tocar estos datos.
George Kendros