Jefferson, 
29 de junho de 2017, 
A praga do ransonware veio para ficar. Os ataques em larga escala como os que temos visto ultimamente podem parar, porque acordos internacionais podem fazer com que seja mais difícil para os bandidos obterem o dinheiro, mas ataques em pequena escala vão continuar existindo enquanto malware existir.
Daí não consigo deixar de me perguntar por que os fabricantes de HDDs não colocam uma chave que se movida desliga a gravação na unidade. Claro, isso é inútil para o drive de sistema, mas seria útil em todos os HDDs externos e em muitos HDDs internos. A chave desligaria fisicamente a gravação mas o firmware no HDD sinalizaria para o OS esse estado, evitando confusão. Cara, se isso só pudesse ser implementado em um novo release do Windows 10 eu passaria a usar essa abominação da MS só por causa disso.
Não é exatamente o que você queria mas já é um começo.
https://tecnoblog.net/217832/windows-10-proteger-ransomware/
Eu li sobre isso ontem. Depende de como for implementado mas infelizmente nenhuma solução por software no Windows é 100% segura. Primeiro, se o ransonware explorar alguma vulnerabilidade de elevação de privilégios, possivelmente poderá passar por cima das restrições removendo-as. Segundo, eu não estou certo de como isso poderia defender qualquer um de um ransonware como o NoPetya, que infecta o MBR.
É realmente um começo, mas está longe de fazer com que eu me sinta seguro e pode complicar demais a utilização da máquina. O Linux tem algo parecido na forma do SELinux mas aparentemente é complexo demais para se usar em um desktop.
Tendo dito isto, é preciso ter em mente que o que torna o ransonware uma praga particularmente perigosa além do incentivo financeiro é o fato de que não é preciso de permissões de administrador para sequestrar seus dados. Criar um ransonware está ao alcance de praticamente qualquer programador, em qualquer linguagem. E ser atingido por um pode acontecer com qualquer um, a qualquer momento. Quando o autor do ransonware busca elevação de privilégios é apenas para aumentar o seu alcance e poder de devastação.
Então, essa medida da Microsoft pode ser muito útil por garantir proteção contra o bandido que não tem nenhuma sofisticação.
Jefferson, concordo com você. Pensando nisto, eu estava pensando em implementa uma estrutura de backup em um hd externo mas com as seguintes características:
Montar o hd externo via software.
Fazer backup dos dados necessários.
Desmontar o hd externo.
O que é que você acha desta minha abordagem.
OBS.: Sou analista de sistemas e tenho conhecimento em algumas linguagens de programação. A ideia era fazer um programa que fizesse tudo automaticamente.
Isso parece ser uma boa idéia e certamente é melhor do que deixar drive montado o tempo todo, mas é preciso estar ciente dos possíveis problemas.
Ransonware tem pelo menos dois comportamentos quanto ao tempo de incubação. Alguns imediatamente ao serem ativados começam a criptografar tudo o que encontram e logo em seguida paralisam o uso do computador e exigem resgate. Contra esse tipo essa sua idéia tem maiores chances porque a probabilidade do drive estar montado no momento da atividade é menor (nem é baixa, nem nula).
Já os tipos mais sofisticados podem levar dias ou semanas vigiando toda a atividade do computador para se assegurar que seus backups sejam criptografados também. Esse tipo requer estar rodando com altos privilégios porque para passar muito tempo despercebido ele precisa instalar um driver que decriptografa os arquivos em tempo real para você não perceber o que está havendo. E se o malware tem altos privilégios ele pode ser notificado imediatamente quando você monta o drive e começar a criptografá-lo. Você só vai perceber que há algo errado se monitorar o tempo que leva para fazer o backup.
No final das contas, a única mídia 100% segura para backup é a WORM (CD, DVD, bluray, etc). O próximo tipo em segurança para mim é ter seu próprio servidor de FTP para backup, que corretamente configurado é a mais próxima emulação de uma mídia WORM em software que eu conheço.
Existem dois problemas extras que só me ocorreram agora.
1)O ransomware não pode criptografar arquivos no “volume” (rigorosamente falando, não se monta/desmonta “drive”) que não está montado, mas ele pode solicitar uma lista dos volumes e montar os que estão desmontados.
2)Mesmo que ele não possa/queira fazer isso, tendo privilégios suficientes ele pode simplesmente apagar as partições do HDD, sobreescrever o MBR, o MFT, etc.
Tento sempre fazer backups offline, mas nunca estão satisfatoriamente atualizados.
A solução lógica pra isso é seria algum serviço na nuvem, mas tem que pesquisar bem.
Utilizei por muito tempo o Dropbox. Serviço quase perfeito, faz versionamento de arquivos por no mínimo 30 dias. Mas ficou caro para brasileiros, devido a cobrança em dólares…
Atualmente utilizo o OneDrive, que apesar “barato” (compro sempre um cartão anual do Office365 na Black Fridey), não protege, por incrível que pareça, contra ransomwae. Só tem versionamento para arquivos do Office, e mesmo assim, tem que ser restaurados um a a um.
É justamente a falta de um mecanismo de “bulk restore” confiável que me faz rejeitar até o Ownclowd como opção de proteção.
Eu já me contentaria com um pendrive com boa capacidade que já tivesse isso, eu sei que existem cartões de memoria com isso, mas os mais rápidos são demasiadamente caros…
Eu andei vendo uma solução que seria eu mesmo romper a trilha e fazer o USB com um botão.. mas ainda não tive tempo e paciência para tentar.