La sauvegarde Windows 10 est-elle protégée contre les ransomwares?
Windows 10 stocke ses sauvegardes dans un dossier protégé, par exemple E:\System Volume Information, et seul le compte SYSTEM y a un accès complet. Est-ce que cela le protège des ransomwares qui chiffrent les fichiers? Même lorsque j'exécute 'En tant qu'administrateur', je n'arrive pas à accéder à ce dossier, il semble donc assez sûr, non?
Et qu'en est-il de la fonctionnalité Historique des fichiers de Windows 10, est-ce sûr?
Juste une note: @SilverlightFox a raison, les sauvegardes sont pas stockées dans le System Volume Information dossier, comme je le pensais, mais plutôt dans un dossier portant le même nom que l'ordinateur, par exemple E:\MYCOMPUTER où E peut être n'importe quel lecteur. Par défaut, ce dossier est accessible par l'utilisateur SYSTEM et le groupe Administrateurs.
Si le ransomware obtient un accès administrateur à votre ordinateur, il peut endommager les sauvegardes que la machine Windows peut avoir créées sur cet ordinateur.
Si le ransomware acquiert uniquement un accès non administrateur (c'est-à-dire que vous utilisez un compte non administrateur pour la navigation Web), ces sauvegardes seront sûres.
La meilleure chose à faire est de sauvegarder sur un périphérique de stockage amovible. (Windows a sûrement une option pour cela) Gardez cet appareil dans un endroit sûr, séparé de votre ordinateur. Non seulement vos sauvegardes seront protégées contre les virus de cette façon, mais vous aurez toujours vos sauvegardes en cas de vol physique ou de panne matérielle.
Vous pouvez également sauvegarder vos fichiers sur un serveur séparé, tant que ce serveur a été correctement configuré (et bien sécurisé) afin que les sauvegardes endommagées par le ransomeware n'écrasent pas les originaux.
Le dossier System Volume Information Contient uniquement des fichiers sauvegardés par la restauration du système. Autrement dit, il ne protégera pas vos fichiers personnels s'ils sont écrasés par des logiciels malveillants, il ne protégera que les fichiers système Windows.
De plus, bien que vous ne puissiez pas accéder par défaut à ce dossier, si vous deviez devenir propriétaire du dossier en tant qu'administrateur (ou avec des privilèges d'administrateur), rien ne vous empêche d'y accéder.
L'historique des fichiers est aussi sûr que le lecteur externe sur lequel il sauvegarde. c'est-à-dire ne choisissez pas un lecteur interne pour votre destination de sauvegarde, car il serait tout aussi vulnérable aux ransomwares et aux logiciels malveillants.
Vous disposez toujours d'un disque physique contenant de vraies données, et bien qu'un administrateur ne puisse pas y accéder. Même si vous en empêchez l'accès dans Windows 10, les logiciels malveillants ou les randsomware pourraient utiliser un accès administratif pour installer les bootkits ou pire.
Ou imaginez un scénario dans lequel vous avez un lecteur USB normal branché sur votre ordinateur. Un attaquant pourrait effacer le lecteur sous Windows 10, flasher un iso linux livecd avec des instructions pour se reconnecter à son serveur, puis redémarrer. Si un lecteur flash est le premier dans l'ordre de démarrage, l'ordinateur exécutera le code souhaité par l'attaquant, lui donnant accès à tous les lecteurs physiques et aux données qui s'y trouvent.
Évidemment, c'est un exemple artificiel/ridicule, mais le point primordial à faire ici est que si un attaquant peut obtenir un accès administratif au système d'exploitation, vous ne pouvez pas faire grand-chose pour l'empêcher d'accéder au matériel que Windows 10 doit accès. Comme l'a souligné Silverlight Fox, un simple changement d'autorisations peut accomplir la même chose.
De manière générale, la plupart des ransomwares essaient de chiffrer à la fois le disque principal ainsi que tous les disques connectés (USB, partages réseau, etc.). Je parie que s'il pouvait trouver vos fichiers de sauvegarde, ils seraient également cryptés (si quelqu'un obtenait une version antérieure de Cryptolocker et cryptait tous les partages réseau). Les sauvegardes (avec une politique de sauvegarde définie) nous ont évités de payer.
C'est pourquoi soit une sauvegarde hors ligne (c'est-à-dire un disque dur externe non connecté en permanence) ou une sauvegarde dans le cloud est si importante. Quelque chose qui ne peut pas être consulté immédiatement si votre ordinateur est compromis.
Je dois noter que Windows (toutes les versions remontant à XP) utilise son propre système de sauvegarde incrémentielle propriétaire. Il crée un fichier de sauvegarde, puis incrémente les données à chaque sauvegarde suivante. C'est plus que suffisant pour protéger vos données (à condition que vous disposiez d'un lecteur hors ligne).
Et n'oubliez pas de déconnecter votre disque externe une fois que vous avez terminé une sauvegarde sur celui-ci. S'il est toujours connecté si votre ordinateur est attaqué par un ransomware, il sera tout aussi vulnérable que vos disques internes!
Aucun emplacement de sauvegarde auquel Windows peut accéder directement quand il le souhaite est sans danger pour les logiciels malveillants, point final. Seules les sauvegardes basées sur l'extraction ou les sauvegardes hors ligne ne seraient pas accessibles. En plus de cela, pour éviter d'écraser les sauvegardes avec des fichiers infectés ou cryptés, si une tonne de fichiers changent à la fois, le système de sauvegarde devrait vous alerter. Une sauvegarde delta de plus de 30% de tous vos fichiers pendant une sauvegarde n'est pas normale.
Non, ce n'est pas à l'abri des ransomwares. Tout d'abord, le ransomware est un terme générique pour une variété de malware/virus/spyware. Donc, dire que quelque chose est à l'abri de tous les ransomwares ne sera jamais exact. Vous devrez spécifier la version ou la variante du ransomware. À mesure que la sauvegarde de Windows 10 devient plus courante, les versions actuelles des rançongiciels peuvent évoluer pour pouvoir accéder plus facilement à ces points de sauvegarde.
Deuxièmement, tout programme de sauvegarde de type "à la demande" qui sauvegarde des fichiers lorsqu'ils sont "modifiés" serait plus subjectif au ransomware que tout autre type de sauvegarde. Autrement dit, si le ransomware modifie le fichier, la sauvegarde le percevra comme ayant changé, puis le sauvegarde, corrompant ainsi la sauvegarde.
L'escalade de privilèges est toujours un risque, donc si vous voulez garder vos sauvegardes en toute sécurité, placez-les sur un périphérique de stockage amovible et déconnectez le périphérique de stockage amovible lorsqu'il n'est pas utilisé.