云同步产品能否保护您免受勒索软件攻击？

自从我上一篇关于勒索软件历史与影响的文章《保护个人与企业免受勒索软件攻击》发布后，我收到了一些关于云同步产品（如Dropbox、Box、iCloud和OneDrive）是否能防护勒索软件攻击的疑问。云同步产品与云备份解决方案（如Mozy、Backblaze或Carbonite）不同。备份解决方案会在特定时间点对整个硬盘进行快照，因此即使勒索软件加密了您的硬盘且备份同步将加密文件上传至云端，您仍可访问感染前的文件。只需选择感染前的恢复点并从那里开始即可。

要理解云同步产品的不同之处，让我们逐步分析攻击场景可能如何发生以及云同步的工作原理。云同步在您的计算机上创建文件夹结构，并监控这些文件夹中的文件变化（创建、编辑、更新或删除）。如果检测到任何变化，它会用新版本替换云中的版本，并通知所有其他同步的用户和设备获取新版本。

如前所述，加密型勒索软件通过使用唯一密钥加密每个文件并删除先前版本来工作。大多数勒索软件还会将文件名更改为随机名称。当勒索软件加密文件并删除原始版本时，这会向本地同步服务发出两个事件：添加加密文件、删除原始文件。由于勒索软件更改了文件名，它还破坏了许多云同步产品提供的文件版本控制功能，这将阻止您恢复到先前版本。

如果您的云文件夹与多个人或设备共享，更改将自动传播，同步服务将删除加密文件并同步加密后的文件。

如果您有Office 365订阅，OneDrive会在勒索软件攻击后检测并提醒用户。Dropbox和OneDrive包含帮助从较早时间点恢复文件夹的功能，可用于恢复。Box用户报告称能够开票与Box支持联系以从先前版本恢复文件，但快速恢复所有文件的功能尚不存在。如果您选择Box提供的“自带密钥”（BYOK）功能，这可能会进一步复杂化。iCloud不保留文件或文件夹的过去版本，并且无法恢复到某个时间点。

我创建了一个快速表格以帮助理解：

在我看来，同步服务处于独特的位置，可以在造成太多损害之前快速检测并提醒用户勒索软件攻击。运行检测大量文件被快速删除和添加的服务可能是一个很好的初步措施，双重检查上传的文件是否全部加密将是确认恶意软件感染的好方法。我假设OneDrive正在做类似的事情，并且很高兴看到这种功能内置到所有不同云同步服务的免费层中。在此完成之前，请考虑使用强大的备份解决方案，并保持计算机清洁和无病毒。