Schützt der Windows 10-Dateiversionsverlauf vor Krypto-Malware?

11

Sind die gespeicherten Daten, die durch die Dateiverlaufsfunktion von Windows 10 generiert wurden, von Benutzern und Administratoren isoliert? Ich frage dies, nachdem ich den jüngsten Kryptoangriff auf OSX-Computer gelesen habe, bei dem Sicherungen von Zeitmaschinen sicher waren, da die Dateien nur einem bestimmten Benutzer zugänglich sind und die Malware selbst beim Zugriff auf das Laufwerk den Datenspeicher der Zeitmaschine nicht verschlüsseln konnte .

Ich habe mich gefragt, ob die Funktion von Windows 10 einen ähnlichen Schutz bietet. Es gibt eine ähnliche Frage, aber die Antworten schlagen einfach unterschiedliche Sicherungsstrategien vor und beantworten die Frage nicht wirklich.

Hinweis: Mir ist klar, dass die sicherste Lösung darin besteht, auf Laufwerken zu sichern, die physisch nicht verbunden sind. Dies muss nicht vorgeschlagen werden. Ich suche nur nach einer bestimmten Antwort auf diese Frage

windows-10 backup malware George Kendros
quelle
Ist es irgendwie von der Maschine gesichert? Dann nein.
Fiasco Labs

Antworten:

9

Nicht bei den neueren Varianten der gängigen Ransomware-Schemata. Eines der ersten Dinge, die sie tun werden, ist, die Sicherungskopien von Dateien in den Papierkorb zu werfen, bevor die primären verschlüsselt werden.

Wenn Ihr Schlüssel mit den oben genannten Methoden nicht verfügbar ist, können Sie Ihre Dateien nur aus einer Sicherung oder Schattenkopien wiederherstellen, wenn Sie die Systemwiederherstellung aktiviert haben. Neuere Varianten von CryptoLocker versuchen, die Schattenkopien zu löschen, dies ist jedoch nicht immer erfolgreich. Weitere Informationen zum Wiederherstellen Ihrer Dateien über Shadow Volume Copies finden Sie in diesem Abschnitt unten.

Es scheint, dass die von der Malware verwendete Methode zum Deaktivieren der Verlaufsfunktion (Schattenkopien, intern) nicht immer erfolgreich ist, aber es lohnt sich kaum, sich darauf zu verlassen.

Angesichts der Tatsache, dass Malware mit der Berechtigung ausgeführt wird, jede Datei auf Ihrem Computer zu berühren, können Sie keinem der Abwehrmechanismen Ihres Computers vertrauen, der den Prozess stoppt, sobald er aktiviert wurde. Der einzig sichere Weg, um diese Probleme zu vermeiden, besteht darin, die Malware überhaupt nicht auszuführen.

Mikey TK
quelle
Eines der heimtückischen Dinge an Ransomware ist, dass sie erheblichen Schaden anrichten kann, selbst ohne "mit der Berechtigung zu laufen, jede Datei auf Ihrem Computer zu berühren".
Ben Voigt
Ich möchte mich nicht zu 100% darauf verlassen. Ich werde meine Backups weiterhin auf einem physisch getrennten Laufwerk haben. Das Problem ist, dass diese weniger häufig ausgeführt werden und normalerweise eine ältere Version von Dateien enthalten (und möglicherweise viele Dateien vollständig fehlen). Ich suchte nach einem begleitenden Backup-System, das ein aktuelles Backup auf einem verbundenen Gerät ausführt, aber einige Abhilfemaßnahmen enthält, um zu verhindern, dass Malware den Datenspeicher direkt überschreibt. So etwas wie Time Machine unter OS X (was sich beim letzten Angriff als sicher erwiesen hat).
George Kendros
1
Schwer, wenn nicht unmöglich - die Tatsache, dass Sie ein "verbundenes Gerät" haben, bedeutet, dass die Malware denselben Zugriff darauf hat wie Sie. Die einzigen guten Backups sind offline. Das heißt, eine Abschwächung könnte darin bestehen, ein Gerät wie ein LTO-Bandlaufwerk (das heutzutage billig wird) und dann eine dedizierte Backup-Software wie Bareos oder Networker zu verwenden. Mir ist keine Malware bekannt, die auf Bandsicherungen abzielt. Sie können jedoch existieren, also Vorsicht :)
Mikey TK
Wenn ich mit dedizierten Geräten arbeiten würde, wäre es wahrscheinlich einfacher, eine Box auszuführen, die alle Dateien auf meinem Computer sehen / darauf zugreifen kann, aber für meinen Hauptcomputer völlig unsichtbar ist. In Bezug auf den gleichen Zugriff auf ein verbundenes Gerät wie ich denke ich, dass der Vorteil von Time Machine darin bestand, dass ein Benutzer oder sogar ein Administrator keinen Zugriff hatte. Nur der Backup-Agent hat dies getan, und anscheinend konnte er diese Daten nicht berühren, selbst wenn die Malware auf admin erhöht wurde.
George Kendros