looking for any kind of damage (not only ransomware)
Rilevare se l'intero file è crittografato è banale (c'è anche un WindowsWindows versione ). Tuttavia qualcosa che crittografa l'intero filesystem sarebbe difficile da rilevare automaticamente (ma l'impatto è molto ovvio).
Qualcosa che codifica o danneggia il contenuto parziale all'interno di un file sarebbe molto difficile da distinguere da una normale modifica dell'utente (molti formati di file sono in realtà contenitori con più singoli file all'interno, ad esempio Adobe PDF, Microsoft Office). L'analisi della distribuzione di frequenza dei caratteri (o dei token se si dispone di un parser) può dare più rilevazione euristica se il file non è compresso.
C'è molta attività per rilevare il ransomware in base al suo modello di accesso ai file (frequenza di ridenominazione dei file, modifiche ai file, accesso alla directory crawling).
Una soluzione abbastanza semplice consiste nel monitorare una piccola raccolta di file nella radice e nella parte inferiore dell'albero delle directory (vale a dire i luoghi in cui il malware colpirà per primi) su una condivisione dedicata come canarini. Se questi file vengono aggiornati (senza azione da parte di un utente), allora sai che probabilmente c'è del malware al lavoro. Qualsiasi ID basato su host dovrebbe essere in grado di farlo.
Ordinary backups are not really secure, because the ransomware could just as easily target your backups
Se i tuoi "backup ordinari" sono disponibili online, allora sì, ma è per questo che utilizziamo nastri, unità ottiche e nastri virtuali.
Is there any existing product
"Le domande che cercano consigli sui prodotti sono off-topic man mano che diventano obsolete rapidamente"
(a) automatically make copies of designated files folders
Sì, ci sono molti programmi di copia e backup dei file.
audit the live files against the archive
Vedi sopra.