防御技术:勒索软件数据恢复
在之前的章节中,我们探讨了“受控文件夹访问”,这是一项旨在通过防止不受信任的进程修改某些用户文件夹中的文件来阻碍勒索软件攻击的Windows功能。在今天的文章中,我们将关注Windows安全中心应用“勒索软件防护”页面上的另一个功能——勒索软件数据恢复。
用户界面
该功能的用户界面很简单,反映了您的云文件提供商(如果有的话,对大多数人来说是OneDrive)的状态。根据OneDrive是否启用以及您拥有的账户类型,您将看到以下四组详细信息之一:
它有什么用?
从概念上讲,这整个功能超级简单。 勒索软件的工作原理是使用密钥加密您的文件,并挟持该密钥索要赎金。如果您有文件的备份,您可以简单地恢复文件而无需向坏人付款。 然而,要使备份作为一种有效的勒索软件恢复方法,您需要:
- 确保您的备份过程不会用加密版本覆盖合法文件,并且
- 能够轻松识别哪些文件被勒索软件修改,以便用最新的未损坏版本替换它们。
工作机制
该功能的机制相当简单:如果Defender识别到勒索软件攻击正在进行,它会与勒索软件作战(终止其进程等),同时将检测到的感染时间戳通知您的云文件提供商。在内部,我们称之为“拍肩膀”,就好像我们轻拍备份软件的肩膀说:“呃,等等,这台设备现在被感染了。” 此通知有两个目的:
- 允许文件备份提供商在收到“全部清除”(修复完成)通知之前暂停备份,以及
- 允许文件备份提供商确定从感染开始时起哪些文件可能已被损坏,以便它可以恢复它们的备份。
很简单,对吧? -Eric
附录:可扩展性
据我所知,此功能代表了一个半公开的接口,允许第三方安全软件和云备份软件与Windows安全中心集成。接口是 OnDataCorruptionMalwareFoundNotification 和 OnRemediationNotification。不幸的是,相关文档并未公开——我怀疑它仅提供给微软病毒倡议计划(Microsoft Virus Initiative program)的防病毒合作伙伴成员。