Je pense que les sauvegardes sont votre seul pari sûr. Ce que vous suggérez comme solution consiste essentiellement à faire une sauvegarde spéciale; Je vous suggère de conserver plusieurs (au moins deux) sauvegardes complètes. Le problème est alors réduit à détecter les rançongiciels travaillant sur vos fichiers et à récupérer à partir de la dernière bonne sauvegarde. Vous pouvez utiliser des sauvegardes de déduplication pour économiser de l'espace. L'avantage d'emprunter la voie de secours est que
- vous introduisez moins de complexité (pas de système supplémentaire uniquement pour les ransomwares)
- vous améliorez la qualité de votre routine de sauvegarde :une fois que vous avez automatisé les alertes et la récupération, vous avez mis en place de nombreux éléments pour faciliter la récupération des sauvegardes. C'est bon pour une catégorie d'échecs beaucoup plus large que les simples ransomwares.
Quant à détecter ransomware, c'est facile :les fichiers cryptés ressemblent tous à des données aléatoires, vous pouvez donc simplement faire des tests statistiques pour chaque fichier (répartition égale des octets ? Non compressible avec zip ? etc.) et compter le nombre de fichiers qui semblent aléatoires.