Avere una directory di backup di sola lettura a cui si accede solo da un utente di backup avrà un impatto positivo sul numero di ransomware che può distruggere / alterare i backup. A seconda di questa soluzione only non proteggerà completamente il tuo sistema.
Esiste una serie di fattori riguardanti il ransomware, il che significa che dovrebbe essere utilizzata una strategia anti-ransomware completa. Ho fatto alcune ricerche di base e ho scoperto che mentre alcuni ransomware sarebbero stati ostacolati da questo solo, non è infallibile. Ecco alcuni suggerimenti utili:
Smonta backups
Fintanto che i file sono accessibili a livello di kernel, ci sono alcune possibilità di un attacco di escalation di privilegi che potrebbe bypassare i permessi dei file. Preferibilmente, il backup deve esistere su una macchina dedicata collegata attraverso la rete e deve essere montato dall'utente di backup prima di copiare i file. Questo riduce il tempo di esposizione per quei file da crittografare.
Backup di rete
Non tenere il backup sullo stesso computer che stai utilizzando. Questo è anche pratico nel senso che quando il disco rigido si blocca, è possibile andare al backup e ripristinare da lì. Di tanto in tanto vanno male. Ho avuto un disco rigido solo quest'anno a lanciare errori di settore illeggibili, ed è stato un backup (ma era già stato eseguito il backup prima che andasse male).
Esegui come utente normale
Molti utenti decidono di eseguire come amministratori locali (in particolare gli utenti di Windows), il che rende l'escalation dei privilegi più facile o non necessaria. Assicurati di aver effettuato l'accesso come amministratore / root per installare i programmi ed esegui come utente normale in tutte le altre volte.
Rinomina file
Crea uno schema di denominazione per le estensioni dei file. La maggior parte dei ransomware in realtà cerca solo alcuni tipi di file, come immagini, filmati, documenti e fogli di calcolo. Cose a cui tieni a cuore. Se i tuoi file di backup hanno estensioni diverse, la maggior parte dei ransomware ignorerà felicemente quei file a favore dei file che pensa ti interessino.
Sistemi patch
Molti pacchetti ransomware dipendono dagli exploit in Java, Flash, un browser o sistema operativo specifico o un driver. Assicurati di patchare il tuo software il più spesso possibile. Le infezioni drive-by sono ancora comuni, anche se la maggior parte del software drive-by tende a non utilizzare gli attacchi di escalation dei privilegi come di ritardo, quindi semplicemente mantenere aggiornato il software potrebbe essere un grande vantaggio. Questo include software di terze parti come Magento, Drupal e così via.
Anti-Virus
Mantieni un programma antivirus in esecuzione sul tuo computer, con corrispondenza euristica, se disponibile. La maggior parte dei venditori ha imparato a capire quando un ransomware non è all'altezza.
Honeypot (?)
Non conosco prodotti preconfezionati che facciano questo, ma potresti costruire un honeypot nel tuo file system in poche righe di codice. Fondamentalmente, crea una cartella denominata "a" nella tua home directory (/ home / a o / Users / a), e scrivi un piccolo programma che si aggancia all'ioctl per quella cartella. Termina qualsiasi programma che tenta di leggere da quella directory. In alternativa, scrivi semplicemente un demone che si aggancia alla tua cartella di backup e termina qualsiasi programma a cui non è collegato l'ID dell'utente di backup.
Ricorda che ci sono ancora altri modi per manipolare i tuoi file. In teoria, un virus dell'hypervisor potrebbe ottenere il controllo del tuo hardware e corrompere tutto senza che tu ne sia a conoscenza, fino a quando non fosse troppo tardi. Nessuno schema che potresti escogitare sarà sicuro al 100%. Tuttavia, gestendo con cura i backup offline, correggendo regolarmente le patch e limitando i privilegi dell'account utente, manterrai la maggior parte dei ransomware in gioco da te danneggiati. Questa è la stessa strategia di base che useresti per proteggere da qualsiasi altro tipo di virus.