Windows 10 File Historyは暗号化マルウェアから保護しますか

Windows 10のファイル履歴機能によって生成された保存データは、ユーザーと管理者から分離されていますか？タイムマシンのバックアップが安全であるOSXマシンに対する最近の暗号攻撃を読んだ後、私はこれを尋ねています。

Windows 10の機能が同様の保護を提供するかどうか疑問に思っていました。これには似たような質問がありますが、答えは単に異なるバックアップ戦略を示唆しているだけで、実際には質問に答えません。

注：最も安全なソリューションは、物理的に切断されたドライブへのバックアップを伴うことを認識しています。それを示唆する必要はありません-この質問に対する具体的な答えを探しているだけです

windows-10 backup malware

何とかマシンからバックアップされていますか？その後、いいえ。

— Fiasco Labs

一般的なランサムウェアスキームの新しい亜種ではありません。最初に行うことの1つは、プライマリファイルを暗号化する前にファイルのバックアップコピーを破棄することです。

上記の方法でキーを使用できない場合、ファイルを復元する唯一の方法は、システムの復元が有効になっている場合、バックアップまたはシャドウボリュームコピーからのみです。CryptoLockerの新しい亜種は、シャドウコピーを削除しようとしますが、常に成功するとは限りません。シャドウボリュームコピーを使用してファイルを復元する方法の詳細については、以下のこのセクションをご覧ください。

マルウェアが履歴機能（内部的にシャドウコピー）を無効にするために使用する方法は、常に成功するとは限りませんが、信頼する価値はほとんどありません。

コンピューター上のすべてのファイルにアクセスする権限を持つマルウェアが実行されていることを考えると、コンピューターの防御メカニズムがアクティブ化された後、プロセスを停止することを信頼することはできません。これらの問題を回避する唯一の確実な方法は、そもそもマルウェアを実行しないことです。

— マイキーTK
ソース

ランサムウェアについての陰湿なことの1つは、「コンピューター上のすべてのファイルにアクセスする権限で実行」しなくても、重大な損害を与える可能性があることです。

— ベンフォークト

100％に依存することは望ましくありません。物理的に切断されたドライブにバックアップを保持します。問題は、これらが頻繁に行われず、通常、古いバージョンのファイルを使用することです（多くのファイルが完全に欠落する可能性があります）。接続されたデバイスで最新のバックアップを実行するコンパニオンバックアップシステムを探していましたが、マルウェアがデータストアを直接上書きするのを防ぐための緩和技術が含まれています。OS XのTime Machineのようなもの（最近の攻撃で安全であることが証明されました）。

— ジョージケンドロス16年

不可能ではないにしても難しい-あなたが「接続されたデバイス」を持っているという事実は、マルウェアがあなたと同じアクセスを持っていることを意味します。適切なバックアップはオフラインのみです。とはいえ、緩和策としては、LTOテープドライブのようなデバイス（最近は安価になっています）を使用し、次にBareosやNetworkerなどの専用バックアップソフトウェアを使用することが考えられます。テープバックアップを標的とするマルウェアはありません。ただし、存在する可能性があるため、注意してください:)

— マイキーTK

専用のデバイスを使用する場合は、コンピューター上のすべてのファイルを表示/アクセスできるが、メインコンピューターからは完全に見えないボックスを実行する方が簡単でしょう。私と同じ接続デバイスにアクセスできるという点では、Time Machineの利点は、ユーザーや管理者にもアクセスできなかったことだと思います。マルウェアが管理者に昇格した場合でも、バックアップエージェントのみが実行し、明らかにこのデータにアクセスできませんでした。

— ジョージケンドロス16年