防御技术：勒索软件数据恢复

在之前的章节中，我们探讨了“受控文件夹访问”，这是一项通过阻止不受信任的进程修改特定用户文件夹中的文件来阻碍勒索软件攻击的Windows功能。在今天的文章中，我们将关注Windows安全中心应用程序中“勒索软件防护”页面上的另一项功能——勒索软件数据恢复。

用户界面

该功能的用户界面很简单，反映了您的云文件提供商（如果有的话，对大多数人来说将是OneDrive）的状态。根据OneDrive是否启用以及您拥有的账户类型，您将看到以下四组详细信息之一： Windows 11 勒索软件数据恢复功能状态

它是做什么的？

从概念上讲，这个功能非常简单。 勒索软件的工作原理是用一个密钥加密您的文件，并以此密钥索要赎金。如果您有文件的备份，您可以直接恢复文件而无需向坏人支付赎金。 然而，要使备份作为一种有效的勒索软件恢复方法，您需要：

1. 确保您的备份进程不会用加密版本覆盖合法的文件。
2. 轻松识别哪些文件被勒索软件修改过，以便用它们最新的未损坏版本进行替换。

这个功能的机制相当简单：如果Defender识别到正在发生勒索软件攻击，它会与勒索软件作战（终止其进程等），同时将检测到的感染时间戳通知您的云文件提供商。在内部，我们称之为“拍肩提醒”，就像我们轻拍备份软件的肩膀说：“呃，等一下，这个设备现在被感染了。” 此通知有两个目的：

1. 允许文件备份提供商暂停备份，直到收到“一切正常”（修复完成）的通知。
2. 允许文件备份提供商确定从感染开始时哪些文件可能已被损坏，从而可以恢复其备份。

很简单，对吧？

-埃里克

附录：扩展性

据我所知，该功能代表了一个半公开的接口，允许第三方安全软件和云备份软件与Windows安全中心集成。接口是OnDataCorruptionMalwareFoundNotification和OnRemediationNotification。不幸的是，相关文档并未公开——我怀疑它仅对参与Microsoft Virus Initiative项目的反病毒合作伙伴成员开放。