恶意软件是已知的安装卷吗？

Question

我有几台Windows机器对外部或内部备份驱动器进行自动备份。这种情况在下班时间自动发生，它需要保持这种状态，不需要人工干预。例如，断开和重新连接外部驱动器是一个不可接受的选择。

然而，由于这些驱动器是连接的，赎金是一个非常真实的威胁，他们。作为一个防御，我正在考虑挂载备份卷时，只需要做备份，然后立即卸载备份完成后。

我知道这不是一个完美的防御，因为获得管理员权限的恶意软件可以像我一样轻松地挂载那些驱动器，但这似乎是恶意软件不太可能做的事情，因为卸载的驱动器通常没有多大的兴趣。(或者他们很感兴趣，我不确定是哪一个。)

我愿意冒着遇到零日恶意软件的风险，但这种行为真的是零天吗？或者已经在野外看到过扫描和安装未安装卷的恶意软件？

Answer 1

Ransomware (特别是我想到了洛克)能够攻击未映射的网络共享。我不知道有任何恶意软件，可以安装一个未安装的驱动器，虽然我认为它没有超出可能的范围。我见过或听说过的大多数变体都使用滴管文件来下载有效负载--这个有效载荷有可能改变，所以仅仅因为它现在还没有完成并不意味着它不会在将来发生。

我知道这不是一个完美的防御，因为获得管理员权限的恶意软件可以像我一样轻松地挂载那些驱动器，但这似乎是恶意软件不太可能做的事情，因为卸载的驱动器通常没有多大的兴趣。

我不同意这一说法。ransomware之所以如此有效，是因为它能够将本质上毫无价值的数据货币化。你的数据对你很重要；你很可能愿意为此付出代价，这足以使它成为赎金的目标。

我建议总是有一个真正的离线备份。当更多的人备份磁带时，情况几乎总是如此，然而，由于许多人已经切换到驱动器，这些离线备份已经不再那么常见了。如果您真的想保护自己，您将使用符合您组织的业务需求的RPO进行真正的脱机备份(断开连接，而不是网络访问)。