これは この質問 に似ていることは知っていますが、重複しているとは思いません。
フォルダまたはマウントされたドライブにすべてのファイルの定期的なバックアップを自動的に作成するプログラムがあります。
そのフォルダ/ドライブへの書き込みアクセス権を持つ唯一のプロセスがバックアップを実行するプロセスになるようにシステムを構成したとしましょう。
これにより、さまざまなランサムウェアプログラムがそのドライブ/フォルダーの内容にアクセスできる可能性が大幅に低下しますか?
Root /管理者権限なしで実行されるランサムウェアプログラムから少なくとも保護しますか?
ルート/管理者特権を持っているものから保護する可能性はありますか? (ほとんどのランサムウェアはそれさえ持っていますか?)
ランサムウェアが非常に巧妙に作成され、装備されている本当に悪いシナリオでは、ほとんどの場合、さまざまな方法で回避できる可能性がほとんどです。それは興味深いですが、私は主に実際の状況に興味があります。実際のランサムウェアがそのような状況に直面した場合に実際に何が起こる可能性がありますか。 (バックアップディレクトリへの書き込みアクセスは、バックアップを実行するプロセスのみに制限されます。)
これが本当に私たちを保護するのに役立つとしたら、それをさまざまなデスクトップオペレーティングシステムに設定するのは比較的簡単ですか?
Unix/Unixに似たオペレーティングシステムでランサムウェアが確認された ケースもあるので、私はWindowsだけに関心があるわけではありません。
バックアップユーザーのみがアクセスできる読み取り専用のバックアップディレクトリを作成するwillは、バックアップを破壊/変更する可能性のあるランサムウェアの数にプラスの影響を与えます。このソリューションによっては、単独はシステムを完全には保護しません。
ランサムウェアに関しては、さまざまな要因があります。つまり、包括的なランサムウェア対策を使用する必要があるということです。私はいくつかの基本的な調査を行いましたが、一部のランサムウェアはこれだけで妨害されることはありますが、絶対確実というわけではありません。その他の役立つヒントを次に示します。
カーネルレベルでファイルにアクセスできる限り、ファイルのアクセス許可を回避できる特権昇格攻撃の可能性があります。できれば、バックアップはネットワークを介して接続された専用のマシンに存在し、ファイルをコピーする前にバックアップユーザーがマウントする必要があります。これにより、暗号化されるファイルの公開時間が短縮されます。
使用しているのと同じコンピューターにバックアップを保存しないでください。これは、ハードドライブがクラッシュしたときにバックアップに移動してそこから復元できるという意味でも実用的です。彼らは時々悪くなる。今年ちょうどハードドライブに読み取り不能のセクターエラーが発生し始め、それはバックアップでした(ただし、問題が発生する前に既にバックアップされていました)。
多くのユーザーは、ローカル管理者(特にWindowsユーザー)として実行することを決定します。これにより、特権の昇格が容易になったり不要になったりします。 root/Administratorとしてのみログインしてプログラムをインストールし、それ以外の時間は通常のユーザーとして実行していることを確認してください。
ファイル拡張子の命名規則を考え出します。ほとんどのランサムウェアは実際には、画像、動画、ドキュメント、スプレッドシートなど、特定のtypesファイルのみを検索します。気になりがちなこと。バックアップファイルに異なる拡張子が付いている場合、ほとんどのランサムウェアは喜んでそれらのファイルを無視し、気になるファイルを優先します。
多くのランサムウェアパッケージは、Java、Flash、特定のブラウザーまたはオペレーティングシステム、またはドライバーのエクスプロイトに依存しています。ソフトウェアにできるだけ頻繁にパッチを適用してください。ドライブバイ感染は依然として一般的ですが、ほとんどのドライブバイソフトウェアは、最近、権限昇格攻撃を使用しない傾向があるため、単にソフトウェアを最新の状態に保つことは大きなメリットになる可能性があります。これには、Magento、Drupalなどのサードパーティソフトウェアが含まれます。
可能な場合はヒューリスティックマッチングを使用して、マシン上でウイルス対策プログラムを実行し続けます。ほとんどのベンダーは、ランサムウェアが役に立たなくなる時期を知る方法を学んでいます。
これを行う既成の製品については知りませんが、ほんの数行のコードでファイルシステムにハニーポットを構築できます。基本的に、ホームディレクトリ(/ home/aまたは/ Users/a)に「a」という名前のフォルダーを作成し、そのフォルダーのioctlにフックする小さなプログラムを記述します。そのディレクトリから読み取ろうとするプログラムをすべて終了します。または、バックアップフォルダーにフックするデーモンを作成し、バックアップユーザーのIDがアタッチされていないプログラムを終了します。
ファイルを壊す方法は他にもあることに注意してください。理論的には、ハイパーバイザーウイルスは、手遅れになるまで、知らないうちにハードウェアを制御してすべてを破壊する可能性があります。あなたが思いつく可能性のある計画は、100%フールプルーフになることはありません。ただし、バックアップを慎重にオフラインで管理し、定期的にパッチを適用し、ユーザーアカウントの権限を制限することで、ランサムウェアの大部分が被害を受けるのを防ぐことができます。これは、他のタイプのウイルスから保護するために使用するのと同じ基本的な戦略です。