L'historique des fichiers de Windows 10 protège-t-il contre les logiciels malveillants cryptographiques

Les données enregistrées générées par la fonctionnalité d'historique de fichiers de Windows 10 sont-elles isolées des utilisateurs et des administrateurs? Je pose cette question après avoir lu la récente attaque cryptographique contre les machines OSX où les sauvegardes de Time Machine étaient sécurisées car les fichiers ne sont accessibles qu'à un utilisateur spécial et même avec un accès au lecteur, le malware n'a pas pu crypter le magasin de données de Time Machine .

Je me demandais si la fonctionnalité de Windows 10 offre une protection similaire. Il y a une question similaire à cela, mais les réponses suggèrent simplement différentes stratégies de sauvegarde et ne répondent pas réellement à la question.

remarque: je me rends compte que la solution la plus sécurisée consiste à sauvegarder sur des disques physiquement déconnectés, il n'est pas nécessaire de suggérer que - je ne cherche qu'une réponse spécifique à cette question

windows-10 backup malware

— George Kendros
source

Est-il sauvegardé hors de la machine en quelque sorte? Alors non.

— Fiasco Labs du

Pas avec les nouvelles variantes des schémas de ransomware courants. L'une des premières choses qu'ils feront sera de jeter les copies de sauvegarde des fichiers avant de crypter les principales.

Si votre clé n'est pas disponible à l'aide des méthodes ci-dessus, les seules méthodes dont vous disposez pour restaurer vos fichiers sont à partir d'une sauvegarde ou de clichés instantanés de volumes si la restauration du système est activée. De nouvelles variantes de CryptoLocker tentent de supprimer les clichés instantanés, mais cela ne réussit pas toujours. Vous trouverez plus d'informations sur la restauration de vos fichiers via des clichés instantanés de volumes dans cette section ci-dessous.

Il semble que la méthode utilisée par le logiciel malveillant pour désactiver la fonction d'historique (clichés instantanés, en interne) ne réussisse pas toujours, mais cela ne vaut guère la peine d'être utilisé.

Étant donné qu'un logiciel malveillant s'exécute avec des autorisations pour toucher chaque fichier de votre ordinateur, vous ne pouvez vraiment pas faire confiance à l'un des mécanismes de défense de votre ordinateur pour arrêter le processus une fois qu'il est activé. Le seul moyen sûr d'éviter ces problèmes est de ne pas exécuter le logiciel malveillant en premier lieu.

— Mikey TK
source

L'une des choses insidieuses à propos des ransomwares est qu'ils peuvent causer des dommages importants, même sans "s'exécuter avec des autorisations pour toucher tous les fichiers de votre ordinateur".

— Ben Voigt

Ce n'est pas quelque chose sur lequel je ne vais pas compter à 100%. J'aurai toujours mes sauvegardes sur un disque physiquement déconnecté. Le problème est que ces opérations sont moins fréquentes et comportent généralement une version plus ancienne des fichiers (et il risque de manquer complètement de nombreux fichiers). Je cherchais un système de sauvegarde compagnon qui exécute une sauvegarde à jour sur un appareil connecté mais contient des techniques d'atténuation pour essayer d'empêcher les logiciels malveillants d'écraser directement leur magasin de données. Quelque chose comme Time Machine sur OS X (qui s'est avéré sûr lors de la récente attaque).

— George Kendros

Difficile, voire impossible - le fait que vous ayez un «appareil connecté» signifie que le malware a le même accès que vous. Les seules bonnes sauvegardes sont hors ligne. Cela dit, une atténuation pourrait être d'utiliser un périphérique comme un lecteur de bande LTO (ils deviennent bon marché de nos jours), puis un logiciel de sauvegarde dédié comme Bareos ou Networker. Je ne connais aucun malware qui cible les sauvegardes sur bande. Ils peuvent exister, alors méfiez-vous :)

— Mikey TK

Si j'allais utiliser des appareils dédiés, il serait probablement plus facile d'exécuter une boîte qui peut voir / accéder à tous les fichiers sur mon ordinateur mais qui est complètement invisible pour mon ordinateur principal. En termes d'avoir le même accès à un appareil connecté que moi, je pense que l'avantage de Time Machine était qu'un utilisateur ou même un administrateur n'avait pas accès. Seul l'agent de sauvegarde l'a fait et, apparemment, même lorsque le logiciel malveillant a atteint le niveau administrateur, il n'a pas pu toucher ces données.

— George Kendros