跳转至

抑制系统恢复

对手可能会删除或移除内置数据并关闭旨在帮助恢复损坏系统的服务,以防止恢复。(引用: Talos Olympic Destroyer 2018)(引用: FireEye WannaCry 2017) 这可能会拒绝访问可用的备份和恢复选项。 操作系统可能包含有助于修复损坏系统的功能,例如备份目录、卷影副本和自动修复功能。对手可能会禁用或删除系统恢复功能,以增强数据销毁影响的数据加密的效果。(引用: Talos Olympic Destroyer 2018)(引用: FireEye WannaCry 2017) 此外,对手可能会禁用恢复通知,然后破坏备份。(引用: disable_notif_synology_ransom) 对手已使用多种本机Windows实用程序禁用或删除系统恢复功能: * vssadmin.exe 可用于删除系统上的所有卷影副本 - vssadmin.exe delete shadows /all /quiet * Windows管理工具 可用于删除卷影副本 - wmic shadowcopy delete * wbadmin.exe 可用于删除Windows备份目录 - wbadmin.exe delete catalog -quiet * bcdedit.exe 可用于通过修改引导配置数据禁用自动Windows恢复功能 - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no * REAgentC.exe 可用于禁用Windows恢复环境(WinRE)修复/恢复选项 * diskshadow.exe 可用于删除系统上的所有卷影副本 - diskshadow delete shadows all (引用: Diskshadow) (引用: Crytox Ransomware) 在网络设备上,对手可能利用磁盘擦除删除备份固件映像并重新格式化文件系统,然后系统关闭/重启重新加载设备。结合起来,这些活动可能使网络设备完全无法操作并抑制恢复操作。 对手还可能删除连接到其网络的“在线”备份 - 无论是通过网络存储介质还是通过同步到云服务的文件夹。(引用: ZDNet Ransomware Backups 2020) 在云环境中,对手可能禁用版本控制和备份策略,并删除快照、数据库备份、机器映像和设计用于灾难恢复场景的对象的先前版本。(引用: Dark Reading Code Spaces Cyber Attack)(引用: Rhino Security Labs AWS S3 Ransomware)