バックアップ先がオンラインでないことも重要ですよね。
外付けハードディスクやネットワークドライブとしてマウントされている時に感染発病すると、全滅してしまう可能性もありますから。

なるほど。世代管理も考慮する必要がありますね。

私が昔、汎用計算機（磁気テープがグルグル回っている昔のSF映画に出てくるようなやつです）をやっていたころは毎日の全バックアップはもちろんやっていました。さらに自分で作ったプログラムを走らせるときは更新がかかるファイルはとにかく退避してから実行しました。（だからミスをしても自分で復元して修正してしまうのです）
新人は退避しないまま実行してミスをすると「毎日のバックアップから復元！！」などと大事になります。「先輩は全然、ミスをしないのになぜ自分だけミスをするのだろう」と新人が考え出した時に真相を明かします。そうするとバックアップの大切さが身に染みるのです。
パソコンの時代でもこの感覚が身についていれば、システムを作るときはバックアップを考えますし、処理をする前にファイルを退避しておく習慣も身に付きます。

全く同じ状況になって、VSSで復旧した経験があります。ランサムウェアの種類にもよるのかも知れませんが、VSSの履歴データは攻撃の対象にならない（仕組み上出来ないのかな？）のかもですね。

バックアップというと、昔はハード面のシステム障害への対応が主だったと思いますが、データ保護って概念で考える必要が出てきたように感じます。

最近は紙がなくても電子データだけの保存でOKって風潮になりつつありますし、そうなるとデータの一部が破損して、それに数年後に気がついたって時のためのバックアップ＆リストアも考えないといけないですね。

例えば、システム設計時のバックアップ計画に四半期とかで取得したバックアップを別のNASなりテープに逃がして保存しておくとかでしょうか。

お疲れ様です。
確かに最近、ランサムウェア被害対策でバックアップが重要だということに改めて気づかれるケースは多々ありますね。
ただすでに記載があるように、バックアップがイメージが、ランサムウェアに感染した機器から見えていると、バックアップイメージファイルも暗号化されるケースもあるため、注意が必要ですね。
ちょっと前まで、RAID1だからバックアップは必要ない何て言われるSIerさんもいましたが、さすがにランサムウェアの登場で、そういう理由は通用しなくなったかなと思います。

個人的には、Dropbox for Businessを利用して、勝手にユーザーデーターをクラウドにバックアップさせて、世代管理も一緒に行うことでバックアップレスを実現するのが楽かなと思っています。
（DropBox for Businrssであれば、直取引だと企業クレジットカードになってしまいますが、取引のあるSIer経由で調達すれば請求書決済ができるので、企業にも便利です）

私の方も、ユーザのデータはご本人がとっていたバックアップから戻しました。
ユーザさんのバックアップがパーフェクトで拍手！な案件でした。
別ディスクにとっていたので、もろとも暗号化されてなかったのです。

最近は、暗号化で使った鍵を公開する開発者もいますしね、ランサムウェア大流行はすこし下火になりそうな気がします。（希望的観測）

うちのお客様がこのサーバーソフトを使ってます。http://jp.easeus.com/backup-software/advanced-server.html　ちょっと高価だと思いますが。

>>> どうやって復号化したんですか？と聞いたらバックアップから戻しましたとのことでした
毎朝、バックアップしていたとしても今日更新したファイルに感染したら、バックアップから戻しても昨日の状態にしかなりません。　なので「ウィルス対策はやっぱり必要なんです」というのですが わからん人はこの理屈が理解できないのですよね。

「”絶対安全です”という言葉を信じる者は無知者と愚か者だけだ」ということを知っておくべきです。
ところが日本では（ほかの国もかもしれないが）「原子力発電所は絶対安全だと言っていたじゃないかなのに”避難計画を作成します”とは安全じゃないってことか」などと追及する議員やマスコミがウケるんですよね。