防御技术:勒索软件数据恢复
在之前的文章中,我们探讨了“受控文件夹访问”,这是一个通过阻止非受信进程修改特定用户文件夹中的文件来阻碍勒索软件攻击的Windows功能。在今天的文章中,我们将关注Windows安全中心应用中“勒索软件防护”页面上的另一项功能——勒索软件数据恢复。
用户界面
此功能的用户界面非常简洁,它反映了您云文件提供商(如果有的话,对大多数人而言是OneDrive)的状态。根据OneDrive是否启用以及您拥有的账户类型,您会看到以下四组详细信息之一: (界面状态图例,略)
功能原理
从概念上讲,这个功能超级简单。
勒索软件的工作原理是用一个密钥加密您的文件,并以该密钥作为赎金要求。如果您有文件备份,您就可以直接恢复文件,而无需向坏人支付赎金。
然而,要让备份作为一种有效的勒索软件恢复方法发挥作用,您需要:
- 确保您的备份进程不会用加密版本覆盖合法文件,并且
- 能够轻松识别哪些文件被勒索软件修改过,以便用其最新的未损坏版本替换它们。
这个功能机制相当简单:如果Defender识别到正在发生勒索软件攻击,它会对抗勒索软件(例如终止其进程等),同时还会将检测到感染的时间戳通知给您的云文件提供商。在内部,我们称之为“拍肩膀”通知,就好比我们轻拍备份软件的肩膀说:“呃,等等,这个设备现在被感染了。”
这个通知有两个目的:
- 允许文件备份提供商在收到“安全”(修复完成)通知前暂停备份。
- 允许文件备份提供商确定从感染开始可能已被损坏的文件,以便恢复这些文件的备份。
很简单,对吧? -Eric
附录:可扩展性
据我所知,此功能代表了一个半公开的接口,允许第三方安全软件和云备份软件与Windows安全中心集成。接口包括 OnDataCorruptionMalwareFoundNotification 和 OnRemediationNotification。遗憾的是,相关文档并未公开——我怀疑它仅提供给参与Microsoft病毒计划(MVI)的反病毒合作伙伴计划的成员。