A mi entender, la mayoría de los ransomware funcionan en segundo plano hasta que terminan de cifrar todos los archivos elegidos.
Supongo que mientras el ransomware funciona en segundo plano, si conecto mi disco duro externo USB para hacer una copia de seguridad diaria (o semanal), el ransomware también se enfocará en mi disco duro externo haciendo que mi copia de seguridad sea inútil. >
¿Cuál es una buena estrategia de copia de seguridad para contrarrestar el ransomware?
Tenga varias copias de seguridad con al menos un sitio externo. La escala de tiempo dependerá de su uso. Por ejemplo, muchas empresas utilizarán copias de seguridad diarias fuera del sitio. Para uso personal, semanal o mensual puede ser suficiente. Minimizarás tu riesgo de esta manera.
Dudo que el ransom-ware esperará mucho para ver si puede infectar sus copias de seguridad mensuales, ya que cuanto más tiempo esté en el sistema, mayor será la probabilidad de que sea descubierto / eliminado.
No haga una copia de seguridad de un sistema en vivo, y no conecte sus medios de respaldo a un sistema en vivo (al menos, no como un sistema de archivos grabable).
Hay muchas soluciones de copia de seguridad que pueden ejecutarse desde medios de arranque. Al hacer esto, puede iniciar el software de copia de seguridad y el ransomware, si está presente, no se ejecutará y, por lo tanto, no podrá destruir su copia de seguridad. Si nunca conecta sus medios de copia de seguridad, excepto cuando está ejecutando el software de copia de seguridad, debe estar a salvo de cualquier cosa que se instale en su sistema operativo.
Por supuesto, hay ejemplos de laboratorio de malware de firmware / BIOS, pero no he oído hablar de ransomware que lo use (aún).
La mejor estrategia es proteger tu computadora y tu red para que no te ataquen en primer lugar. Sin embargo, a menos que dependa en gran medida del tipo de copia de seguridad que desea realizar.
Si está realizando una copia de seguridad de los archivos (en su mayoría archivos de texto), podría considerar la configuración de un sistema de control de versiones que le permita realizar copias de seguridad remotas en un servidor de manera que se almacenen los cambios incrementales. Esto significa que incluso si su computadora está infectada y la copia de seguridad que realiza en una revisión está cifrada ... la versión anterior no se vería afectada.
Si está haciendo una imagen completa de su disco duro, el control de versión no funcionaría tan bien ... y podría ser una mejor idea invertir en un sistema de copia de seguridad en cinta con una cinta por cada día de una semana o un mes, dependiendo sobre qué tan lejos quieres que vayan las copias de seguridad.
Lea otras preguntas en las etiquetas ransomware backup