EFS是否能防止被ransomware窃取数据？

Question

最近发生的赎金事件除了加密数据外，还经常包括数据盗窃。Windows Pro/Enterprise版本上的加密文件系统使用存储在该用户帐户证书旁边的私钥加密单个文件。因此，除登录用户帐户外，任何人都无法读取该文件。当您将文件复制到闪存驱动器时，它仍然是加密的。在另一台计算机上读取文件的唯一方法是也复制证书+私钥。

因此，如果ransomware只是简单地上传您的文件，难道它们不会被EFS加密，从而被攻击者无法读取吗？

这不会阻止赎金加密您的文件，但它会防止威胁公开泄露/出售被盗的数据？

编辑:假设Windows 10，假设ransomware运行在可以访问EFS加密文件的用户帐户上。

Answer 1

当您将文件复制到闪存驱动器时，它仍然是加密的。

当EFS加密文件被复制到不支持加密的驱动器(FAT/exFAT系列)时，文件在复制之前会被解密，拷贝是未加密的。我相信只有NTFS格式的驱动器支持加密的文件副本。

如果试图对文件进行ZIP，则先对其进行解密，然后进行压缩(加密文件不支持压缩)。换句话说，传输EFS文件可以删除加密。

这意味着，如果攻击者在您的帐户下运行一些可以解密文件的内容，那么攻击者就可以获得未加密的原始内容。

EFS的目的是为脱机(当您没有登录时)和其他用户访问(本地或远程)提供安全性。

Answer 2

EFS是否能防止被ransomware窃取数据？

是。使用EFS加密的数据只要满足以下几点，就不会被数据窃取。

1. 如果受损的用户帐户可以访问EFS加密文件，则必须确保：
   • Ransomeware没有使用已泄露的凭据解密文件。
   • 窃取受损帐户的EFS加密私钥。

2. 允许使用数据/密钥恢复的证书肯定不是被盗的。
3. 正如@Crypt32 32 32所指出的，在NTFS文件系统上使用强密码正确地加密了这些文件。

Answer 3

不，不需要。EFS是透明的加密(和解密)。如果您尝试读取该文件--可能是将其上传到服务器，但也可能只是以记事本中的方式读取它--并且您是以访问密钥的用户身份运行的，那么操作系统将作为ReadFile系统调用的一部分，为您解密文件内容。

你说“只是上传一个文件”，但这并不是一回事。您通常只将文件数据上传到新文件(或其他文件，如S3桶或内存分析器或数据库等)。如果目标实际上是一个新文件，它可以(完全可以选择)具有相同的名称和其他元数据(时间戳等)。作为原始文件，但要做到这一点，上传实用程序必须故意发送元数据，因为它是文件系统的一部分，而且不是上载文件系统对象，而是上载字节流(通常只是文件内容)。

网络文件系统支持以逻辑文件的形式传输数据，而不是以字节块的形式传输数据。窗户甚至可以支持其中的几个。不过，其中只有Windows网络可能支持跨传输维护EFS。此外，“复制”或“移动”一个文件到内部驱动器中的任何一个，就像将文件从闪存移动到HDD一样--只是自动化"tell目地文件系统创建带有此元数据的文件，以二进制blob的形式发送内容“的过程。Windows支持识别目标文件系统何时支持加密和传输加密的数据(而不是传输明文)这一事实很酷，但只有在操作系统驱动程序进行传输时才有效。如果它是由绝大多数用户模式软件传输的，例如，如果您使用web浏览器或FTP客户端(甚至内置于Windows!)为了在两个文件系统之间(甚至在同一台机器上的两个进程之间)之间传输“一个文件”，数据在暴露到进程之前将被解密，如果目标进程试图将接收的数据写入EFS文件，则只能在目的地重新加密(由EFS加密)。

因为ransomware绝对没有理由跳过直接从驱动器读取加密数据所需的循环(跳过读取时的透明解密)，而且由于它几乎肯定没有使用SMB传输文件(向internet公开SMB并不是一个好主意，它的安全性是.在恶意软件上传文件之前，文件内容肯定会被操作系统解密。