Защищает ли FileVault от программ-вымогателей?

Я уже задавал вопрос о программах-вымогателях в OS X в целом. Но мне не удалось получить ответ о том, защищает ли FileVault от него. Вот о чем этот вопрос. Мне также интересно узнать, защищены ли зашифрованные резервные копии Time Machine от программ-вымогателей.

Программа-вымогатель здесь определяется как вредоносное программное обеспечение, которое шифрует данные пользователя против его воли/сознания и требует выкуп в обмен на ключ шифрования.

Мы рассмотрим три примера:

  1. Вредоносная программа работает без прав суперпользователя. Невольный пользователь мог просто запустить скомпрометированное/вредоносное приложение , которое, по его мнению, было чем-то другим, а затем позволить ему работать в фоновом режиме достаточно долго, чтобы нанести ущерб.

  2. Вредоносная программа работает с правами суперпользователя. Пользователь, полагая, что программное обеспечение является чем-то другим, предоставил ему root-доступ, указав пароль root. Пользователь может даже установить программное обеспечение, указав пароль root.

  3. Пользователь вообще не запускал никаких приложений, вредоносная программа запускалась каким-то другим образом. (Возможно ли это вообще в OS X?)

В случаях 1 и 2 пользователь отключил бы настройку OS X «только доверенные источники». (Дополнительный вопрос: возможно ли вообще быть затронутым программами-вымогателями, когда этот параметр включен?)

Рассматривая 1., 2. и 3. отдельно, вредоносное ПО может:

A: Доступ к защищенным данным FileVault?

B: Изменить/удалить данные, защищенные FileVault?

C: (комбинация A и B) Зашифровать защищенные данные FileVault и перезаписать (надежно удалить) исходные данные FileVault)?

Есть ли разница между локально сохраненными данными, защищенными FileVault, и зашифрованными резервными копиями Time Machine, хранящимися на другом диске? Меня также интересует ответ относительно последнего.

Ответы (2)

Программа-вымогатель работает, выбирая определенные файлы (обычно по типу — например, документы, биткойн-кошельки и т. д.), шифруя эти отдельные файлы и заставляя вас платить за ключ для их расшифровки.

FileVault защищает ваши данные на вашем Mac, шифруя весь диск. Когда вы загружаете свой Mac, вы вводите пароль, который эффективно «расшифровывает» диск и позволяет ему работать как есть. Тем не менее, как только вы, так сказать, вставили ключ в замок, FileVault не защитит вас от программ-вымогателей. Вы по-прежнему будете столь же уязвимы, как программа-вымогатель, работающая после разблокировки FileVault.

Что касается резервных копий Time Machine, здесь все сложнее. Эти резервные копии хранятся в зашифрованном виде в состоянии покоя и расшифровываются только при доступе к ним. Это означает, что файлы внутри самих резервных копий не могут быть индивидуально идентифицированы для запущенной программы-вымогателя, однако вся резервная копия может быть идентифицирована. Таким образом, программа-вымогатель могла зашифровать все как единое целое, а не только отдельные файлы.

Что касается настройки «доверенных источников» OSX, в последнее время было несколько эксплойтов против этой функции, и она не так надежна, как кажется. Я не мог сказать наверняка, что это не защитит тебя, но я бы и не рассчитывал на это.

Я бы порекомендовал какое-то облачное резервное копирование или резервное копирование вне компьютера, если вы действительно хотите защитить свои данные, работающие через стороннее приложение. Другими словами, не подключайтесь к сетевому ресурсу и не делайте резервную копию своих данных, используйте для этого приложение. Маловероятно, что программы-вымогатели будут достаточно сложными и специфичными, чтобы знать о конкретных приложениях для резервного копирования, о том, как они подключаются к своей сторонней службе и как шифровать файлы в этой службе. Dropbox является здесь простым примером, если вы платите за их службу облачного резервного копирования — даже если программа-вымогатель зашифровала ваши файлы в Dropbox, они сохраняют резервные копии версий, чтобы вам было к чему вернуться.

Отличный ответ. В Windows я слышал о проникновении программ-вымогателей через .docи другие неисполняемые файлы. Возможно ли это в OS X? Или это должно быть через исполняемое приложение?
Кроме того, есть ли разница, если резервная копия Time Machine находится в Time Capsule, подключенной через WiFi, но физически не подключенной к Mac?
На это нет хорошего ответа. Я бы сказал, что это менее вероятно через .doc в OSX из-за отсутствия таких вещей, как vbscript в OSX, однако все, что открывается приложением, потенциально может использовать уязвимость безопасности в этом приложении и установить что-то вредоносное. Лучшая защита — это регулярное резервное копирование ваших данных на что-то достаточно сложное, чтобы злоумышленник мог получить к нему доступ. Я также не упомянул - я использую Arq для Mac для резервного копирования на Amazon S3. Вероятность того, что программа-вымогатель проберется туда, я чувствую, очень мала.
Чтобы ответить на ваш другой вопрос: я думаю, что OSX обрабатывает капсулу времени Time Machine так же, как локальную, поэтому я не думаю, что в этом есть какое-то преимущество. Их шифрование в TC не позволяет другим пользователям этого TC получить доступ к вашим материалам (поскольку они потенциально могут использовать одну сеть), но не к программам-вымогателям.
ОК, спасибо за информацию. Я живу в сельской местности Индии, и у меня очень ограниченное подключение к Интернету, где я плачу за МБ, поэтому я думаю, что лучшим вариантом для меня является резервное копирование на внешний жесткий диск, который подключается только во время процесса резервного копирования и остается отключенным в противном случае?
Вау, какая интересная ситуация, о которой я не подумал. Автономные резервные копии, безусловно, ваш друг. У меня могло бы быть несколько дисков, которые я меняю, если бы у меня было что-то настолько критичное. возможно, 7 дисков, по одному на каждый день недели. Поэтому, если произойдет что-то плохое, у вас есть до 7 дней резервного копирования и до 7 дней, чтобы понять, что вы заражены, прежде чем вы потенциально повлияете на свое последнее резервное копирование.
Это блестящая идея.

Функция macOS, которая может помочь в борьбе с программами-вымогателями, — это защита целостности системы (SIP). Эта функция включена по умолчанию в новых версиях macOS. SIP предотвращает изменения в системных файлах, даже если вы являетесь пользователем root. Чтобы отключить это, вам нужно войти в восстановление macOS (перезагрузите, затем Command + R), затем выберите «Утилиты»> «Терминал». Как только вы окажетесь в Терминале, введите csrutil disable. Чтобы проверить статус csrutil status(вы можете проверить статус самой macOS). Чтобы включить, csrutil enable(вы должны быть в MacOS Recovery). Обратите внимание, что в macOS Catalina (10.15 и выше) системные файлы хранятся в отдельной APFS Ready Only, поэтому даже если SIP отключен, вы не можете записывать в системные файлы.

Это не отвечает на заданный вопрос; это о FileVault . Ваши первые три предложения верны, но я не понимаю, почему вы описываете, как отключить функцию, которая, как минимум, не запрашивается и в основном открывает перед вами массу угроз. Пожалуйста, взгляните на Как ответить для руководства по написанию хороших ответов.
Защищает ли FileVault от программ-вымогателей?
СпросиСетьПолитика конфиденциальности1y, 1v