Premetto che non uso Windows, quindi la mia soluzione non ti serve.
Però io uso un hypervisor che non fa nient'altro (Proxmox) e tengo lo storage su ZFS con snapshot ogni settimana o mese dipendentemente dalla frequenza con cui un set di dati cambia.
Soltanto le VM sono esposte su internet, e ogni VM vede solo la porzione di spazio che gli interessa (per esempio la VM del server di minecraft non vede lo storage dove ci sono le foto di famiglia, che è su un dataset ZFS differente)
Un cryptolocker mi ucciderebbe una singola VM e al massimo i dati correlati ad essa.
Del sistema operativo della VM faccio manualmente backup (completo) ogni tanto visto che pesa poco mentre i dati come ho già detto sono coperti dallo snapshot di ZFS che posso ripristinare molto velocemente.
Ovviamente da dentro la VM non c'è la possibilità di eliminare o toccare gli snapshot*
Dei dati più importanti (ma sono poche centinaia di gigabyte) ho anche backup su HDD esterno che faccio una volta l'anno e tengo in un posto diverso.
Poi se qualcuno mi vuol davvero male il modo sicuro lo trova, non sono esperto di sicurezza. Però penso sia un buon compromesso
*o meglio, gli snapshot li puoi vedere perchè uso la funzione di samba/windows che permette di andar dietro nel tempo ma sono readonly