Alcune persone menzionano i backup come una soluzione per il ransomware. Il ransomware funziona perché l'obiettivo non è preparato per il risultato. Mentre un disco rigido guasto e una crittografia ransomware possono essere "recuperati" ripristinando un backup su una nuova unità, il ransomware a volte è un malware che gira sulla macchina stessa. In ogni caso, il ripristino da un backup esterno non rimuoverà il problema che ha consentito agli hacker di accedere al sistema in primo luogo. Ciò richiede contromisure come:
- autorizzazioni di sicurezza elevate su un sistema per prevenire i trojan
- strategie di backup remoto per impedire che i backup connessi vengano crittografati
- rilevamento di infiltrazioni in caso di qualcosa di simile a un worm
- password consolidate per impedire l'intrusione
Sfortunatamente la maggior parte degli utenti di computer non ha queste contromisure in atto.
Per eseguire il ripristino da un'unità guasta, è sufficiente eseguire i backup su un disco esterno. In caso di guasto dell'unità, sostituire il disco e ripristinare i volumi. Semplice.
Per recuperare da un ransomware occorrono tempo, tempi di fermo e indagini per determinare se la macchina è stata compromessa a causa di:
- un account utente in esecuzione con autorizzazioni troppo elevate per il
esigenze dell'utente (utente desktop come amministratore)
- un'infezione su un'altra macchina o dispositivo che consentiva
un utente per ruotare verso il sistema che consente l'infezione (controller di dominio infetto)
- una mancanza di consapevolezza in merito a qualcosa come un tentativo di phishing in
un'e-mail in cui l'utente ha fatto clic su qualcosa che non desiderava
a (insieme a # 1)
- password molto semplici (se l'attacco era in loco)
- permessi di accesso remoto in una macchina con software di accesso remoto come LogMeIn o Windows Remote Desktop
- una rete non firewall
- altri sistemi compromessi come dispositivi IoT
Se il costo di un'indagine è costoso, potrebbe essere più economico pagare il riscatto.
Nota: il sistema / rete deve ancora essere protetto prima e dopo un'indagine, altrimenti lo stesso attacco può ripetersi.
In alcuni casi, abilitando la crittografia su un volume con BitLocker in cui il volume non era già crittografato, l'utente malintenzionato può impedire l'accesso all'intero volume bloccando l'utente dal proprio sistema. In questo caso è una funzionalità di Windows. Non ci sarebbero prove di qualsiasi cosa "installata" sul sistema, ma piuttosto ci sarebbe evidenza di un'intrusione se il sistema fosse configurato in modo tale che l'account dell'utente potesse essere compromesso in remoto o di persona con l'inserimento di un dispositivo infetto.
On Disk Failure
Quando un disco si guasta, è sufficiente sostituire il dispositivo perché si è verificato un errore fisico. Se molti dischi non funzionano, c'è un problema con il controller. Puoi solo dire se un disco ha fallito provandolo in una macchina diversa se un nuovo disco mostra gli stessi sintomi, o se testi un nuovo disco nella macchina guasta e funziona, allora sai che il controller è a posto. In situazioni come un RAID in cui più dischi lavorano insieme, un disco guasto può rimuovere altri dischi, quindi c'è la possibilità di errori sistemici su più dispositivi. Pensa ai settori danneggiati e alla corruzione dei file su una singola unità che viene replicata su più copie su un RAID. L'errore del disco è in genere limitato a una sola macchina, ad eccezione delle reti in cui i terminali (thin client) si connettono tutti a un sistema centrale. La sostituzione di un disco guasto solitamente risolve il problema. Statisticamente non è probabile che si verifichi lo stesso problema a meno che il disco sostitutivo sia stato acquistato contemporaneamente e facesse parte della stessa esecuzione del fornitore, nel qual caso potrebbe trattarsi di un difetto del produttore di una linea componente.
Non è sempre solo una macchina con Ransomware però
Alcuni ransomware possono effettivamente crittografare più di una macchina su una rete. Ho un client il cui server è stato infettato e ha permesso al virus di diffondersi su più macchine sulla rete e quindi il server e le workstation sono stati tutti bloccati. Nei casi in cui il server potrebbe non essere infetto, ma agisce da host, questo può causare infezioni ricorrenti alle workstation che si connettono ai file infetti. Indipendentemente da ciò, il problema deve essere risolto sistematicamente per fermare l'infezione.
Se un disco rigido in una workstation muore, non replica l'errore su una rete. Confrontare ransomware e guasti del disco rigido è come paragonare il cancro a un arto rotto; sono entrambi debilitanti.