近年来，勒索软件对软件生态系统的威胁迅速增加。尽管对此已有大量研究，但新的勒索软件变种不断出现，这些变种旨在规避现有的基于加密的检测机制。本文介绍了Remembrall这一新的防御方法，它通过监控和防止系统备份中断来抵御勒索软件。Remembrall专注于Windows系统中卷影副本（Volume Shadow Copies, VSC）的删除操作，捕获相关的恶意事件，并实时识别所有勒索软件的痕迹。为了确保不遗漏任何勒索软件活动，我们对应用程序层、操作系统层和硬件层中可能用于删除VSC的所有攻击行为进行了全面分析。基于这些分析，Remembrall能够检索系统事件信息，并准确识别勒索软件，避免误报。我们在最新的勒索软件样本上对Remembrall进行了测试，结果显示其在60个勒索软件家族中的F1分数提高了4.31%至87.55%。此外，Remembrall还在实验中检测到了8个零日勒索软件样本。