¿La copia de seguridad de Windows 10 está protegida contra ransomware?

Si el ransomware obtiene acceso de administrador a su computadora, puede dañar cualquier copia de seguridad que la máquina con Windows haya creado en esa computadora.

Si el ransomware solo obtiene acceso de no administrador (es decir, utiliza una cuenta que no es de administrador para la navegación web), esas copias de seguridad estarán a salvo.

Lo mejor es hacer una copia de seguridad en un dispositivo de almacenamiento extraíble. (seguramente Windows tiene una opción para esto) Mantenga este dispositivo en un lugar seguro, separado de su computadora. Sus copias de seguridad no solo estarán protegidas de virus de esta manera, sino que también las tendrá en caso de robo físico o falla de hardware.

También puede hacer una copia de seguridad de sus archivos en un servidor separado, siempre que ese servidor se haya configurado correctamente (y esté bien protegido) para que las copias de seguridad dañadas por ransomeware no sobrescriban los originales.

La carpeta System Volume Information solo contiene archivos respaldados por Restaurar sistema. Es decir, no protegerá sus archivos personales en caso de que el malware los sobrescriba, solo protegerá los archivos del sistema de Windows.

Además, aunque no puede obtener acceso a esta carpeta de forma predeterminada, si tomara posesión de la carpeta como administrador (o con privilegios de administrador), nada le impedirá acceder a ella.

es tan seguro como el disco externo al que hace copia de seguridad. es decir, no elija una unidad interna para su destino de copia de seguridad, ya que sería igual de vulnerable a ransomware y malware.

Todavía tiene una unidad física con datos reales, y aunque un administrador no pueda acceder a ella. Incluso si evita cualquier acceso a él dentro de Windows 10, randsomware o malware podría usar el acceso administrativo para instalar bootkits o algo peor.

O, imagine un escenario en el que tenga una unidad USB normal conectada a su computadora. Un atacante podría limpiar la unidad dentro de Windows 10, instalar una linux livecd iso con instrucciones para volver a conectarse a su servidor y luego reiniciar. Si una unidad flash ocupa el primer lugar en el orden de inicio, la computadora ejecutará el código que desee el atacante, dándole acceso a todas las unidades físicas y los datos que contengan.

Obviamente, este es un ejemplo idóneo / ridículo, pero el punto abrumador que se debe hacer aquí es que si un atacante puede obtener acceso administrativo al sistema operativo, no hay mucho que pueda hacer para evitar que accedan al hardware. Windows 10 necesidades de acceso. Como señaló Silverlight Fox, un simple cambio de permisos puede lograr lo mismo.

En términos generales, la mayoría de los ransomware intentan cifrar tanto la unidad principal como las unidades conectadas (USB, recursos compartidos de red, etc.). Mi apuesta es que si pudiera encontrar sus archivos de copia de seguridad, también se cifrarían (si alguien obtuviera una versión anterior de Cryptolocker y cifrara todos los recursos compartidos de la red). Las copias de seguridad (con una política de copia de seguridad definida) nos salvaron de pagar.

Es por esto que una copia de seguridad fuera de línea (es decir, un disco duro externo no conectado permanentemente) o una copia de seguridad en la nube es tan importante. Algo a lo que no se puede acceder de inmediato si su computadora se ve comprometida.

Debo tener en cuenta que Windows (todas las versiones que se remontan a XP) utiliza su propio sistema de copia de seguridad incremental patentado. Crea un archivo de respaldo y luego incrementa los datos con cada respaldo posterior. Esto es más que suficiente para mantener sus datos seguros (siempre que tenga una unidad fuera de línea).

No hay ubicaciones de copia de seguridad a las que Windows pueda acceder directamente siempre que lo desee, es seguro para el malware, punto. Solo las copias de seguridad basadas en extracción o las copias de seguridad sin conexión no serían accesibles. Además, para evitar que se sobrescriban las copias de seguridad con archivos infectados o cifrados, si una tonelada de archivos cambia a la vez, el sistema de copia de seguridad debería alertarlo. Una copia de seguridad delta de, por ejemplo, más del 30% de todos sus archivos durante una ejecución de copia de seguridad no es normal.

No, no está a salvo del ransomware. En primer lugar, ransomware es un término genérico para una variedad de malware / virus / spyware. Por lo tanto, decir que algo está a salvo de todo ransomware nunca será preciso. Necesitaría especificar la versión o variante de ransomware. A medida que la copia de seguridad de Windows 10 se vuelve más frecuente, las versiones actuales de ransomware pueden evolucionar para poder acceder a esos puntos de copia de seguridad más fácilmente.

En segundo lugar, cualquier programa de copia de seguridad "a pedido" que realice copias de seguridad de archivos cuando se "cambien" sería más subjetivo al ransomware que cualquier otro tipo de copia de seguridad. Es decir, si el ransomware cambia el archivo, la copia de seguridad lo percibiría como si hubiera cambiado y luego realizar una copia de seguridad, corrompiendo así la copia de seguridad.

La escalada de privilegios siempre es un riesgo, por lo que si desea mantener sus copias de seguridad completamente seguras, colóquelas en un dispositivo de almacenamiento extraíble y desconecte el dispositivo de almacenamiento extraíble cuando no esté en uso.

Y no olvides desconectar tu unidad externa una vez que hayas completado una copia de seguridad. Si aún está conectado, si su computadora es atacada por un ransomware, ¡será tan vulnerable como sus unidades internas!