Il backup di Windows 10 è protetto da ransomware?

Se il ransomware ottiene l'accesso come amministratore al computer, può danneggiare qualsiasi backup che il computer Windows potrebbe aver creato su quel computer.

Se il ransomware acquisisce solo l'accesso non amministratore (ovvero si utilizza un account non amministratore per la navigazione sul Web), tali backup saranno sicuri.

La cosa migliore è eseguire il backup su un dispositivo di archiviazione rimovibile. (sicuramente Windows ha un'opzione per questo) Conservare questo dispositivo in un luogo sicuro, separato dal computer. Non solo i tuoi backup saranno protetti dai virus in questo modo, avrai comunque i tuoi backup in caso di furto fisico o guasto dell'hardware.

Puoi anche eseguire il backup dei tuoi file su un server separato, purché tale server sia stato correttamente configurato (e ben protetto) in modo che i backup danneggiati dal ransomware non sovrascrivano gli originali.

La cartella System Volume Information contiene solo i file sottoposti a backup da Ripristino configurazione di sistema. Cioè, non proteggerà i tuoi file personali se vengono sovrascritti da malware, proteggerà solo i file di sistema di Windows.

Inoltre, sebbene per impostazione predefinita non sia possibile accedere a questa cartella, se si dovesse assumere la proprietà della cartella come amministratore (o con i privilegi di amministratore), nulla ti impedisce di accedervi.

La cronologia dei file è sicura tanto quanto l'unità esterna su cui esegue il backup. Ad esempio, non scegliere un'unità interna per la destinazione di backup, in quanto sarebbe altrettanto vulnerabile a ransomware e malware.

Hai ancora un'unità fisica con dati reali su di essa e anche se un amministratore potrebbe non essere in grado di accedervi. Anche se si impedisce l'accesso ad esso in Windows 10, il randsomware o il malware potrebbero utilizzare l'accesso amministrativo per installare i bootkits o peggio.

Oppure, immagina uno scenario in cui hai una normale unità USB collegata al tuo computer. Un utente malintenzionato potrebbe cancellare l'unità in Windows 10, eseguire il flashing di un iso Linux livecd con le istruzioni per riconnettersi al proprio server, quindi riavviare. Se un'unità flash è la prima nell'ordine di avvio, il computer eseguirà qualsiasi codice richiesto dall'attaccante, consentendogli l'accesso a tutte le unità fisiche e ai dati su di essi.

Ovviamente questo è un esempio artificioso / ridicolo, ma il punto cruciale da fare qui è che se un utente malintenzionato può ottenere l'accesso amministrativo al sistema operativo, non c'è molto che puoi fare per impedirgli di accedere a Windows hardware 10 ha bisogno di accedere. Come ha fatto notare Silverlight Fox, una semplice modifica delle autorizzazioni può portare a compimento la stessa cosa.

In generale, la maggior parte dei ransomware tenta di crittografare sia l'unità principale, sia qualsiasi unità collegata (USB, condivisioni di rete, ecc.). La mia scommessa è se riuscisse a trovare i file di backup, sarebbero anche crittografati (qualcuno avrebbe avuto una versione anticipata di Cryptolocker e criptato tutte le condivisioni di rete). I backup (con una politica di backup definita) ci hanno salvato dal pagamento.

Questo è il motivo per cui sia un backup offline (ad esempio un HDD esterno non collegato in modo permanente) o un backup del cloud è così importante. Qualcosa a cui non è possibile accedere immediatamente se il computer viene compromesso.

Devo notare che Windows (tutte le versioni risalenti a XP) utilizza il proprio sistema di backup incrementale proprietario. Costruisce un file di backup e quindi incrementa i dati con ogni backup successivo. Questo è più che sufficiente per mantenere i tuoi dati al sicuro (a condizione di avere un'unità offline).

Nessuna posizione di backup Windows può accedere direttamente ogni volta che vuole è sicuro per malware, punto. Solo i backup basati su pull oi backup offline non sarebbero raggiungibili. Inoltre, per evitare di sovrascrivere i backup con file infetti o crittografati, se un file ton-off cambia in una volta, il sistema di backup dovrebbe avvisare l'utente. Un backup delta di oltre il 30% di tutti i tuoi file durante l'esecuzione di un backup non è affatto normale.

No, non è sicuro da ransomware. Prima di tutto, ransomware è un termine generico per una varietà di malware / virus / spyware. Quindi, dire che qualcosa è al sicuro da tutti i ransomware non sarà mai preciso. Dovresti specificare la versione o la variante di ransomware. Poiché il backup di Windows 10 diventa più diffuso, le versioni correnti di ransomware potrebbero evolversi per poter accedere a questi punti di backup in modo più semplice.

In secondo luogo, qualsiasi programma di backup di tipo "su richiesta" che esegue il backup dei file quando sono "modificati" sarebbe più soggettivo per il ransomware rispetto a qualsiasi altro tipo di backup. Cioè, se il ransomware cambia il file, il backup lo percepirebbe come modificato e quindi ripristinato, danneggiando così il backup.

L'escalation dei privilegi è sempre un rischio, quindi se si desidera mantenere i backup completamente sicuri, inserirli su un dispositivo di archiviazione rimovibile e disconnettere il dispositivo di archiviazione rimovibile quando non in uso.

E non dimenticare di scollegare l'unità esterna dopo averne completato il backup. Se è ancora collegato se il tuo computer viene attaccato da ransomware, sarà altrettanto vulnerabile delle tue unità interne!