buscando cualquier tipo de daño (no solo ransomware)
Detectar si el archivo completo está cifrado es trivial (incluso hay un MSWindows versión ). Sin embargo, algo que encripta todo el sistema de archivos sería difícil de detectar automáticamente (pero el impacto es muy obvio).
Algo que encripta o daña el contenido parcial dentro de un archivo sería muy difícil de diferenciar de una edición de usuario normal (muchos formatos de archivos son en realidad contenedores con múltiples archivos individuales dentro, por ejemplo, Adobe PDF, Microsoft Office). El análisis de la distribución de frecuencia de los caracteres (o tokens si tiene un analizador) puede proporcionar una detección más heurística si el archivo no está comprimido.
Hay una gran cantidad de actividades destinadas a detectar ransomware por su patrón de acceso a archivos (frecuencia de cambio de nombre de archivos, cambios de archivos, acceso a rastreo de directorios).
Una solución bastante simple es monitorear una pequeña colección de archivos en la raíz y en la parte inferior del árbol de directorios (es decir, los lugares donde el malware atacará primero) en una parte dedicada como canarios. Si estos archivos se actualizan (sin la acción de un usuario), entonces sabrá que probablemente haya malware en el trabajo. Cualquier IDS basado en host debería ser capaz de esto.
Las copias de seguridad normales no son realmente seguras, porque el ransomware podría dirigirse a sus copias de seguridad con la misma facilidad
Si sus "copias de seguridad ordinarias" están disponibles en línea, entonces sí, pero es por eso que usamos cintas, unidades ópticas y cintas virtuales.
¿Hay algún producto existente?
"Las preguntas que buscan recomendaciones de productos están fuera de tema y se vuelven obsoletas rápidamente"
(a) realiza copias automáticamente de las carpetas de archivos designadas
Sí, hay muchos programas de copia y copia de seguridad de archivos.
audita los archivos en vivo contra el archivo
Ver más arriba.