Бэкап-сервер через виртуалку на локалхосте

Есть ли подводные, что я не вижу?

Как вариант — шифровальщику может оказаться пофигу на то, что на втором диске нет NTFS и на нем нет разделов оффтопика и он поработает с ним на блочном уровне или просто случайный зловред похерит на нем таблицу разделов/заполнит его нулями. С правами администратора под Win у пользователя ни о какой изоляции речи быть не может.

Мало смысла шифровать блочное устройство (ибо жертва должна видеть файлы и хотеть получить их обратно). А про админские права я учту, спасибо.

Настрой бэкап в AWS S3 с помощью Duplicati. Работает хорошо. S3, в отличие от обычной виндовой шары, шифровальщики, с вероятностью более 99%, не тронут.

То, что ты описал - значительно менее надёжно. То есть, факап с данными может получиться просто из-за сбоя виртуалки или ошибочного действия пользователя.

Можно просто внешний USB-шный диск с Linux-om - загружаться с него и бэкапить туда же (скриптец какой-нибудь написать). Ручная операция, конечно, но надёжно )

отдельный комп для бекапов с виндой

если пользователь имеет права администратора, то вся остальная защита как яйца коту вылизать - имитация кипучей деятельности...
велосипедить поверх онного безобразия виртуалбокс еще большое извращение.
если уж хочешь сделать что-то отдельное - возьми NAS, хотя будучи постоянно подключенным по дырявой самбе - «не фариант» но все таки чуть большая защита. можно не все по самбе отдавать

бекап со сжатием 7зип и заливкой в яндекс-облако через curl делается батником в несколько строчек. куча статей по ентому поводу гуглится на 1-2-3.
для документов большего нафих не нужно (я имею у него там не видосики «как сделать розочку в компасе.1080р.mp4»). ну максимум дописать инкрементальные/дифференциальные бекапы.