大多数人没有备份。大多数确实有备份的人都没有测试它们以确保它们工作。

磁盘故障和勒索软件之间的真正区别在于，支付赎金比支付数据恢复公司的费用便宜，而且更有可能取回您的数据。

一些人提到备份作为勒索软件的修复。勒索软件之所以起作用，是因为目标没有为结果做好准备。虽然故障硬盘驱动器和勒索软件加密都可以通过将备份恢复到新驱动器来“恢复”，但勒索软件有时是在机器本身上运行的恶意软件。在任何情况下，从外部备份恢复都不会消除允许攻击者首先访问系统的问题。这需要采取以下对策：

1. 提升系统的安全权限以防止木马
2. 防止连接的备份被加密的远程备份策略
3. 发生蠕虫等事件时的渗透检测
4. 强化密码以防止入侵

不幸的是，大多数计算机用户没有这些对策。

要从故障驱动器中恢复，只需备份到外部磁盘即可。在驱动器发生故障时更换磁盘并恢复卷。简单的。

要从勒索软件中恢复需要时间、停机时间和调查，以确定机器是否因以下原因受到威胁：

1. 一个用户帐户运行的权限对于用户的需要来说太高了（桌面用户作为管理员）
2. 另一台机器或设备上的感染，允许用户转向允许感染的系统（受感染的域控制器）
3. 对电子邮件中的网络钓鱼尝试缺乏意识，其中用户点击了他们不打算点击的内容（以及＃1）
4. 非常简单的密码（如果攻击是在现场）
5. 使用远程访问软件（如 LogMeIn 或 Windows 远程桌面）对机器的远程访问权限
6. 非防火墙网络
7. 其他受损系统，如物联网设备

如果调查的成本很高，支付赎金可能会更便宜。

注意： 系统/网络在调查之前和之后仍然需要保护，否则可能会再次发生相同的攻击。

在某些情况下，通过使用 BitLocker 对尚未加密的卷启用加密，攻击者可以阻止对整个卷的访问，从而将用户锁定在他们自己的系统之外。在这种情况下，它是 Windows 功能。没有证据表明系统上“安装”了任何东西，但是如果系统的配置方式使得用户的帐户可以远程或亲自通过插入受感染的设备。

磁盘故障

当磁盘发生故障时，您只需更换设备，因为它是物理故障。如果多个磁盘出现故障，则控制器存在问题。如果新磁盘表现出相同的症状，或者如果您在发生故障的机器上测试新磁盘并且它可以工作，那么您只能通过在另一台机器上测试磁盘来判断磁盘是否发生故障，然后您就知道控制器没问题。在多个磁盘一起工作的 RAID 等情况下，发生故障的磁盘可以取出其他磁盘，因此有可能在多个设备之间发生系统故障。考虑将单个驱动器上的坏扇区和文件损坏镜像到 RAID 上的多个副本。磁盘故障通常仅限于一台机器，但终端（瘦客户端）都连接到中央系统的网络除外。更换故障磁盘通常可以解决问题。

不过，它并不总是只有一台带有勒索软件的机器

一些勒索软件实际上可以加密网络上的多台机器。我有一个客户端，其服务器被感染，并允许病毒传播到网络上的多台机器，然后服务器和工作站都被锁定。在服务器可能没有被感染但充当主机的情况下，这可能会导致连接到受感染文件的工作站反复感染。无论如何，这个问题需要系统地解决以阻止感染。

如果工作站中的硬盘死机，它不会通过网络复制故障。比较勒索软件和硬盘故障就像比较癌症和断肢一样。他们都很虚弱。

• 有可能使用勒索软件备份加密数据
• 大多数人一开始并没有备份到云端
• 如果您定期备份硬盘驱动器，则无需担心会自动备份死硬盘
• 有了加密，就没有任何方法可以在不支付赎金的情况下恢复我的数据（不能保证有效）。
• 如果驱动器死了，仍然有可能恢复其中的一些。

总体而言，硬盘驱动器故障可能不会像预防措施和恢复服务那样造成破坏，而勒索软件的设计目的是故意造成更大的破坏。

要使备份有用，您必须定期进行备份。如果您在您的计算机上工作并且您的最后一次备份是一周前，那么无论攻击者要求什么，在一周内创建的这些文件可能已经价值 50-100 美元/欧元。如果涉及到未备份的照片，大多数人甚至更愿意付费。这使得这种攻击非常有利可图。

大多数人对计算机一无所知。他们只是简单的用户，几乎不知道要避免什么或可能出什么问题。毕竟，在大多数情况下，当您感染病毒或 rootkit 时，您会认识可以为您提供帮助、保存文件、格式​​化计算机和重新安装 Windows 的人。这意味着对于那些用户来说，攻击无处不在，他们只是毫无准备。

人们也很懒惰。即使他们知道备份很有用，大多数人也懒得定期将他们的计算机连接到外部驱动器。除了手动将他们喜欢的所有文件拉到驱动器上之外，大多数人都不知道该怎么做。在这种情况下，他们很容易错过一些文件或复制太多文件，以至于随着时间的推移，这个过程变得乏味。

此外，如果您的备份连接到您的网络/计算机，它们也可能容易受到攻击，因为您预计会出现磁盘故障，但您认为您的网络/计算机通常可以免受大多数攻击，或者用户被告知要避免什么。