Зашифрует ли шифровальщик файлы на диске без буквы?

Question

[tartarelin]

Если резервная копия делается на диск, которому не присвоена буква, вирус шифровальщик всё равно, наравне со всей остальной информацией на компьютере, зашифрует и резервные копии?

PS
Вопрос больше не актуален, оказалось Windows 8.1 умеет
wbadmin start backup
и не умеет
wbadmin start recovery

Comments

[mureevms]

Позвольте поинтересоваться, каким образом программа\скрипт, делает бэкапы на раздел без буквы?

[АртемЪ]

mureevms: А в чем проблема?

[mureevms]

Интересен сам механизм указывания пути для бэкапа.
Если нет буквы, то раздел считается не смонтированным (при условии, что он не подключен как папка NTFS) и с ним нельзя вести процесс чтения\записи данных. Каким тогда образом на него складывается бэкап?

[mureevms]

Артем: Если это какой-нить акронис со своим разделом, который вообще не виден из винды, то воросов нет. Но тогда надо об этом писать в вопросе

[АртемЪ]

mureevms: А зачем акронис?
Можно работать с диском без буквы из своего софта. Можно монтировать на букву перед записью, и размонтировать после записи бэкапа.
Можно монтировать как папку.
Вариантов куча.

[mureevms]

Артем: решение монтировать для бэкапа, а затем размонтировать, в теории рабочее и имеющее право на жизнь. Но просто я не встречал такого софта и подхода, поэтому и спрашиваю как именно, а не в теории, это работает у топикстартера.

[АртемЪ]

mureevms:
mountvol
ну или если вы в линуксе, а не в окошках, то просто mount

[tartarelin]

mureevms: как то так
wbadmin start backup -backupTarget:\\?\Volume{45ea9d51-ffb1-11e4-828c-e0699576e438}\ -include:D: -quiet
вместо буквы уникальный идентификатор

[mureevms]

АртемЪ: Про линукс вопросов нет:)
tartarelin: Спасибо!

Answer 1

[АртемЪ]

Маловероятно.
Хотя возможность есть.

У шифровальщика немного другая задача - максимально быстро зашифровать определенные типы файлов, и попросить денег.
Вряд ли он будет изучать все подключенные диски и пытаться их монтировать.
Но повторю - теоретически возможность есть.
Некоторые говорят удаляют теневые копии, мне вот недавно приносили зашифрованный, теневые копии были целые.

P.S.

оказалось Windows 8.1 умеет
wbadmin start backup
и не умеет
wbadmin start recovery

Умеет

Answer 2

[Scorpi]

Зависит от реализации шифровальщика =\

Comments

[tartarelin]

так есть такие, которые шифруют на разделе без буквы или это в теории?

[Scorpi]

tartarelin: есть, а если даже и нет то ничто не мешает сделать такой.

[tartarelin]

Scorpi: так есть или нет?

[Scorpi]

tartarelin: что за глупые вопросы? Я по вашему скачал все вирусы и проверил на этот факт? Могу точно сказать - тем что вы не присвоите букву диску, вы не защитите ваши данные ни на каплю.

[tartarelin]

Scorpi: обычный вопрос. Вы или видели такие вирусы и они есть или вы не видели и тогда вам нечего сказать по этому поводу.

[Scorpi]

tartarelin: у себя на компьютере за последние 4 года не видел ни одного вируса, кроме тех что сам написал. И мне есть что сказать по этому поводу, хоть я и не видел такого вируса, но могу его сделать сам, а раз я могу значит и любой другой программист может. Перестаньте задавать глупые вопросы и получше разберитесь в этом вопросе.

[Владимир Мартьянов]

Scorpi: Вот ты и попался! Шутка :-)

[tartarelin]

Денис: можно создать вирус, который будет прививаться в систему, как официальное обновление, если бы я работал на иракской атомной центрифуге, мне действительно было бы важно считать именно так.
Вы же не знаете, какие данные я хочу сохранять, откуда вы знаете, что для меня лучше, может речь о коллекции порно, которую можно заново потом скачать из интернетов.

Answer 3

[Владимир Мартьянов]

Если обычный пользователь через штатный проводник имеет доступ на запись к файлам - считайте троян тоже имеет к ним доступ. И да, у вас не резервные копии.

Comments

[tartarelin]

что значит не резервные копии?

[Владимир Мартьянов]

tartarelin: Через проводник диск с "копиями" виден? Сами "копии" видны на диске - значит ОС может с ними работать штатными средствами, которые троян и использует. И тогда это не бэкапы.

[tartarelin]

vilgeforce: я как бы спрашиваю про диск, которому не присвоена буква.

[Владимир Мартьянов]

tartarelin: А я вам про доступность данных из ОС. Если проводник имеет доступ - троян тоже имеет доступ.

[tartarelin]

vilgeforce: доступ из ОС и доступ из штатного проводника это не одно и тоже, если я вам открою штатный проводник и попрошу открыть скрытый раздел, вы не сможете это сделать, используя только проводник.
И да, это резервные копии, так они называются в windows server.

[Владимир Мартьянов]

tartarelin: Аминь.

[tartarelin]

John Smith: серьёзно, вижу. Если вы хотите начать спор по поводу терминологии, то начните его лучше с парнями из Microsoft, у них это называется именно резервные копии.

[АртемЪ]

vilgeforce:, John Smith:
Резервная копия это копия данных, из которой можно восстановить данные если они будут утрачены.
Где она хранится, какой к ней доступ, и какими средствами она сделана не имеет значения.
Выбор инструмента, частоты, технологий и места хранения осуществляется исходя из конкретной задачи.

Поэтому, да это резервные копии.

Answer 4

[younghacker]

Вам верно ответили, куда имеет доступ залогиненный пользователь, туда имеют доступ и все процессы запущенные с его привилегиями. А будет ли он искать все устройства или нет, зависит от реализации.

Спасут информацию и кошельки только резервные копии на удалённое устройство откуда пользователь не может ничего удалить или изменить. Речь идёт о таком бэкапе куда пользователь используя своё окружение и привилегии не может получить доступ.
Например бэкап на почту. Отправить можете, а вот отозвать письмо — нет. Разумеется доступ к такому бэкапу нужно хранить надёжно и случайно не "спалить" трояну. "Отправляльщик" должен это делать без аутентификации или отправлять на другой ящик иначе пароль может утечь, а шифровальщий сделать своё дело.

Либо "бэкап устройство" должно само приходить на компьютер и забирать бэкапы не предоставляя возможности зайти к себе. Разве что только по пятницам и только в режиме ReadOnly. Например для проверки бэкапов.

Для этих целей не подходит диск подключённый по USB. Или ограниченно подходит если выполнены мероприятия описанные дальше.

Но всё же нужно помнить о организационных мероприятиях, так как понятие пользователь отличается от понятия администратор. Не нужно работать от эккаунта администратора. Для этого есть эккаунт пользователя. Ему выделить песочницу "Мои документы" и туда он пусть пишет и читает. При грамотно расставленых правах и политиках ограничения запуска, а главное адекватном поведении пользователя у трояна почти нет шансов во-первых запуститься, во-вторых даже запустившись он будет "кувыркаться" в рамках отведённой песочницы.
Бэкапер при этом выполняясь с другими более высокими привилегиями будет изолирован от шифровальщика и сможет создавать копии в защищённое место.