Tener un directorio de copia de seguridad de solo lectura al que solo acceda un usuario de copia de seguridad tendrá un impacto positivo en la cantidad de ransomware que puede destruir / alterar sus copias de seguridad. Dependiendo de esta solución, únicamente no protegerá completamente su sistema.
Hay una serie de factores relacionados con el ransomware, lo que significa que debería usarse una estrategia integral contra el ransomware. Hice una investigación básica y descubrí que, si bien este ransomware se frustraría solo con esto, no es infalible. Aquí algunos otros consejos útiles:
Desmontar copias de seguridad
Mientras los archivos sean accesibles en el nivel del kernel, existe la posibilidad de un ataque de escalado de privilegios que pueda pasar por alto los permisos de los archivos. Preferiblemente, su copia de seguridad debe existir en una máquina dedicada conectada a través de la red y debe ser montada por el usuario de la copia de seguridad antes de copiar archivos. Esto reduce el tiempo de exposición para que esos archivos se cifren.
Copias de seguridad de red
No guarde la copia de seguridad en la misma computadora que está usando. Esto también es práctico en el sentido de que cuando su disco duro falla, puede ir a su copia de seguridad y restaurar desde allí. Ellos van mal de vez en cuando. Tuve un disco duro este año, comencé a lanzar errores ilegibles del sector y era una copia de seguridad (pero ya se había hecho una copia de seguridad antes de que se dañara).
Ejecutar como usuario normal
Muchos usuarios deciden ejecutarse como administradores locales (especialmente los usuarios de Windows), lo que hace que la escalada de privilegios sea más fácil o no necesaria. Asegúrese de que solo haya iniciado sesión como root / Administrator para instalar los programas, y ejecútelo como un usuario normal en cualquier otro momento.
Renombrar archivos
Cree un esquema de nombres para sus extensiones de archivo. La mayoría del ransomware en realidad solo busca ciertos tipos de archivos, como imágenes, películas, documentos y hojas de cálculo. Cosas que tienden a preocuparte. Si sus archivos de copia de seguridad tienen extensiones diferentes, la mayoría del ransomware ignorará esos archivos en favor de los archivos que cree que le interesan.
Sistemas de parches
Muchos paquetes de ransomware dependen de vulnerabilidades en Java, Flash, un navegador o sistema operativo específico o un controlador. Asegúrese de parchear su software con la mayor frecuencia posible. Las infecciones de drive-by todavía son comunes, aunque la mayoría de los softwares de drive-by tienden a no usar ataques de escalada de privilegios últimamente, así que simplemente mantener su software actualizado podría ser una ventaja importante. Esto incluye software de terceros como Magento, Drupal, etc.
Anti-Virus
Mantenga un programa antivirus en ejecución en su máquina, con coincidencia heurística, si está disponible. La mayoría de los proveedores han aprendido a decir cuándo un ransomware no es bueno.
Honeypot (?)
No conozco ningún producto comercial que haga esto, pero podría crear un honeypot en su sistema de archivos en solo unas pocas líneas de código. Básicamente, cree una carpeta llamada "a" en su directorio de inicio (/ home / a o / Users / a), y escriba un pequeño programa que se enganche en el ioctl para esa carpeta. Termine cualquier programa que intente leer desde ese directorio. Como alternativa, simplemente escriba un demonio que se enganche en su carpeta de copia de seguridad y finalice los programas que no tengan el ID de usuario de copia de seguridad adjunto.
Ten en cuenta que todavía hay otras formas de modificar tus archivos. En teoría, un virus hipervisor podría controlar su hardware y corromper todo sin que usted lo supiera, hasta que fue demasiado tarde. Ningún plan que se te ocurra será 100% infalible. Sin embargo, al administrar con cuidado sus copias de seguridad fuera de línea, parchear regularmente y restringir los privilegios de su cuenta de usuario, evitará que la mayoría del ransomware lo dañe. Esta es la misma estrategia básica que usaría para protegerse contra cualquier otro tipo de virus.