Windows 10 的文件历史记录功能生成的保存数据是否与用户和管理员隔离?我在阅读了最近针对 OSX 机器的加密攻击后提出了这个问题,其中时间机器备份是安全的,因为这些文件只能由特殊用户访问,即使可以访问驱动器,恶意软件也无法加密时间机器的数据存储。
我想知道 Windows 10 的功能是否提供类似的保护。有一个类似的问题,但答案只是建议不同的备份策略,并没有真正回答问题。
注意:我意识到最安全的解决方案是备份到物理断开的驱动器,没有必要建议这样做 - 我只是在寻找这个问题的具体答案
答案1
常见的勒索软件变种则不然。他们首先会做的事情之一是删除文件的备份副本在加密主要内容之前。
如果使用上述方法无法获取密钥,则您唯一可以恢复文件的方法就是通过备份或卷影副本(如果启用了系统还原)。较新的 CryptoLocker 变体会尝试删除卷影副本,但并不总是成功。有关如何通过卷影副本恢复文件的更多信息,请参阅下面的本节。
看起来恶意软件用来禁用历史记录功能(内部的卷影副本)的方法并不总是成功,但它几乎不值得依赖。
考虑到恶意软件运行时有权触碰您计算机上的所有文件,一旦恶意软件被激活,您真的不能相信计算机的任何防御机制能够阻止该进程。避免这些问题的唯一可靠方法是首先不要执行恶意软件。