Подавление восстановления системы

Злоумышленники могут удалять или убирать встроенные данные и отключать службы, предназначенные для помощи в восстановлении поврежденной системы, чтобы предотвратить восстановление. Это может лишить доступа к доступным резервным копиям и параметрам восстановления. Операционные системы могут содержать функции, которые могут помочь исправить поврежденные системы, такие как каталог резервных копий, теневые копии томов и функции автоматического восстановления. Злоумышленники могут отключать или удалять функции восстановления системы для усиления эффектов Уничтожения данных и Шифрования данных с целью воздействия. Кроме того, злоумышленники могут отключать уведомления о восстановлении, а затем повреждать резервные копии. Ряд встроенных утилит Windows использовался злоумышленниками для отключения или удаления функций восстановления системы: * vssadmin.exe может использоваться для удаления всех теневых копий томов в системе - vssadmin.exe delete shadows /all /quiet * Инструментарий управления Windows может использоваться для удаления теневых копий томов - wmic shadowcopy delete * wbadmin.exe может использоваться для удаления каталога резервных копий Windows - wbadmin.exe delete catalog -quiet * bcdedit.exe может использоваться для отключения автоматических функций восстановления Windows путем изменения данных конфигурации загрузки - bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no * REAgentC.exe может использоваться для отключения параметров восстановления/ремонта среды восстановления Windows (WinRE) зараженной системы * diskshadow.exe может использоваться для удаления всех теневых копий томов в системе - diskshadow delete shadows all На сетевых устройствах злоумышленники могут использовать Стирание диска для удаления образов резервной прошивки и переформатирования файловой системы, затем Завершение работы/перезагрузка системы для перезагрузки устройства. Вместе эта деятельность может оставить сетевые устройства полностью неработоспособными и препятствовать операциям восстановления. На серверах ESXi злоумышленники могут удалять или шифровать снимки виртуальных машин для поддержки Шифрования данных с целью воздействия, предотвращая их использование в качестве резервных копий (например, через `vim-cmd vmsvc/snapshot.removeall`). Злоумышленники также могут удалять "онлайн" резервные копии, которые подключены к их сети — будь то через сетевые носители хранения или через папки, которые синхронизируются с облачными сервисами. В облачных средах злоумышленники могут отключать политики версионирования и резервного копирования и удалять снимки, резервные копии баз данных, образы машин и предыдущие версии объектов, предназначенных для использования в сценариях аварийного восстановления.