Так я и говорил, забирать бекап с другого сервака, этим же другим серваком, на который ни у кого из юзеров доступа нет, ни правами, ни портами, ни функционалом. А на том серваке бекапов уже дедупить и хранить.
Не знаю, как по поводу расширений, но на Мисте было в своё время описано несколько случаев, когда было зашифровано всё, кроме баз 1с (открытые на запись файлы оказались "неподвластны" шифрователям).