A continuación se presentan algunas estrategias para ayudar a proteger contra el ransomware utilizando BackupChain (Backup for Hyper-V VM).
Las soluciones más sencillas incluyen:
Copia de seguridad en la nube
Rotar los discos duros externos. Sólo debe estar conectada una unidad a la vez. Configurar los discos duros externos para que utilicen la misma letra de unidad cuando se conecten y evitar conectar más de una unidad a la vez, ya que eso haría que Windows reorganizara las letras de unidad.
Las estrategias de protección contra el ransomware más elaboradas giran en torno a la idea de hacer que los archivos de las copias de seguridad sean inaccesibles para el ransomware, que suele ejecutarse en una sesión de usuario normal o LocalSystem:
Cree una cuenta de administrador dedicada y cambie la configuración de inicio de sesión del "Servicio BackupChain" de LocalSystem a esa nueva cuenta dedicada. Lo que se consigue con esto es que, aunque el ransomware entre en la sesión de usuario de LocalSystem, no tendrá acceso a las carpetas que utiliza BackupChain.
Aísla las carpetas de las copias de seguridad (locales o en red) para que sólo la cuenta dedicada al administrador de BC pueda escribir en ellas.
Si se utiliza un NAS o un recurso compartido de red, asegúrese de que nadie tenga permisos de escritura en la carpeta de copia de seguridad, sólo el usuario dedicado de BC.
Cree dos scripts al principio y al final de una tarea para conectar y desconectar dispositivos de almacenamiento. Estos podrían ser unidades locales/externas o iSCSI y sólo serían visibles en el servidor mientras dure la tarea de copia de seguridad.
Existen dispositivos de gestión de la energía en el mercado que permiten ciclos de encendido y apagado controlados por ordenador, de forma muy parecida a una placa de relés. Con un sistema de este tipo se podría encender un NAS o una unidad externa y apagarlo cuando la copia de seguridad haya terminado, quizás con un retraso de 10 minutos al final para garantizar que todos los búferes del sistema de archivos se vacíen correctamente. Es posible encender estos tipos de circuitos de energía llamando a un ejecutable en la pestaña de Opciones de BackupChain y así encender y apagar el almacenamiento de forma remota.
El mejor aislamiento del ransomware es una desconexión física (es decir, apagado y desenchufado físicamente, lo que también protege contra las subidas de tensión). Las desconexiones basadas en software y el aislamiento de carpetas son sólo un obstáculo que el ransomware suficientemente inteligente podrá sortear algún día.
No olvides que el ransomware también contiene un troyano, que da a los delincuentes acceso a tu ordenador y, por tanto, a toda la red. Una vez que el ransomware entra en su ordenador, permite al delincuente entrar y hacer cualquier delito "inteligente" que desee. Una historia real de un cliente: el delincuente accedió a un ordenador, navegó por los documentos, encontró un documento que contenía los datos de acceso a la cuenta de copia de seguridad en la nube, luego entró en la cuenta y borró los datos de la nube manualmente. Pero como nuestro propio sistema de almacenamiento de copias de seguridad en la nube también mantiene una copia offline separada de todas las cuentas, nuestro cliente pudo restaurar todos los datos del servidor de archivos de la fábrica. Todas las demás copias de seguridad locales se perdieron.
Recomendaciones más generales: mantenga el acceso limitado a determinadas cuentas, no inicie la sesión con la cuenta de administrador del dominio y no permanezca conectado al sistema cuando no utilice el ordenador. Utilice contraseñas distintas en los diferentes ordenadores. No utilice unidades mapeadas y elimine la conexión de red cuando ya no la necesite.
La función de copia de seguridad de versiones de BackupChain protege automáticamente contra las sobreescrituras realizadas por el ransomware, ya que éste suele cifrar y renombrar un archivo después. El archivo, por lo tanto, aparece como un nuevo archivo y se hace una copia de seguridad por separado si el sistema de copia de seguridad sigue funcionando. La copia de seguridad del archivo original permanece intacta.
Tenga en cuenta que el software de copia de seguridad BackupChain elimina las conexiones de red que crea él mismo cuando la copia de seguridad ha terminado. Esto también reduce la posibilidad de un ataque, ya que el ransomware más elaborado ahora comprueba todas las conexiones de servidor externas que se almacenan en la sesión del usuario y las infecta también. Al ejecutar el proceso de copia de seguridad en una sesión de usuario aislada, la sesión de usuario del sistema local no tendrá acceso a esas conexiones de red, aunque se esté ejecutando una copia de seguridad.