Ransomware-Behebung
Wiederherstellungsfunktion
Diese Funktion wurde speziell für Zero-Day-Ransomware entwickelt. Der Ransomware-Schutz erkennt die Ransomware, beendet ihren Prozess und stellt sie unter Quarantäne, sodass die Ransomware-Behebung beschädigte Dateien sichern und wiederherstellen kann. Außerdem verwendet ESET Endpoint Antivirus das ESET LiveGrid® Reputationssystem, um Sie effizienter vor Malware zu schützen. ESET hat ESET LiveGuard entwickelt, um Ihnen eine weitere Schutzebene zu bieten und neue Bedrohungen in der Praxis abzuwehren.
Ordner- und Laufwerksschutz
Es werden nur NTFS-formatierte Laufwerke unterstützt. Wechselmedien wie Flash-Laufwerke oder andere USB-Geräte werden nicht unterstützt. Alle lokalen Laufwerke und Ordner werden geschützt. Administratoren können Ausnahmen von diesem Schutz definieren. Es ist nicht möglich, nur eine bestimmte Datei in einem Ordner zu schützen. Dies ist teilweise durch die Definition von zu schützenden Dateierweiterungen möglich.
Verfügbarkeit von Funktionen in der Vorabversion von ESET PROTECT 6.0
In der Vorabversion von ESET PROTECT 6.0 sind die Einstellungen sichtbar, wenn Sie der Instanz die richtige ConfigEngine hinzufügen und ESET Management Agent 12.0 und höher auf einem Clientcomputer installieren. Diese Funktion ist nur in verwalteten Umgebungen verfügbar und wird für nicht verwaltete Endpoint Sicherheitsprodukte nicht unterstützt. Nach der Aktivierung werden die Einstellungen für die Ransomware-Behebung in den lokalen erweiterten Einstellungen unter Schutzfunktionen > HIPS > Ransomware-Schutz angezeigt. Die Ransomware-Behebung muss mit einer passenden Lizenz aktiviert werden, und in der Policy muss die Einstellung Dateien nach einem Ransomware-Angriff wiederherstellen aktiviert sein.
Sicherungs-Trigger
Der Ransomware-Schutz dient als Trigger für die Sicherungskomponente (Ransomware-Behebung). Über den Echtzeit-Dateischutz kann die Sicherungskomponente Schreibvorgänge für geschützte Dateitypen zu verzögern und Kopien im laufenden Betrieb zu erstellen. Die Sicherung wird für Prozesse gestartet, die vom Ransomware-Schutz überwacht und als verdächtig identifiziert wurden. Für den ordnungsgemäßen Betrieb des Ransomware-Schutzes muss ESET LiveGrid® aktiviert sein. Der Echtzeit-Dateischutz kann garantieren, dass die Sicherungskomponente immer eine Kopie erstellt, bevor der von Ransomware angeforderte Schreibvorgang ausgeführt wird.
Manuelle Sicherungsoption
Derzeit ist die manuelle Sicherungs- oder Wiederherstellungsoption nicht verfügbar.
Aufbewahrungsfrist für gesicherte Daten
Es ist keine Aufbewahrungsfrist erforderlich, da die Sicherungen sofort verworfen werden, wenn der Ransomware-Schutz festgestellt hat, dass der Prozess nicht bösartig ist. Wenn der Ransomware-Schutz den Prozess als bösartig einstuft, werden die Dateien aus der Sicherung in ihren ursprünglichen Ordnern wiederhergestellt.
Einschränkungen der Sicherung
Für die Sicherung ist freier Speicherplatz auf dem lokalen Systemlaufwerk erforderlich. Der Sicherungsvorgang wird beendet, wenn der freie Speicherplatz auf dem Volume unter den Mindestsystemanforderungen liegt. Die maximale Größe für Dateien, die mit der Sicherung geschützt werden können, beträgt 30 MB.
Speicherpfad der Sicherungsdatei
Die Sicherungsdateien werden unter C:\ProgramData\ESET\ESET Security\RR\backup\{GUID} gespeichert. Cloud-Speicher und benutzerdefinierte Ordnerauswahl werden nicht unterstützt.
Schutz von gesicherten Dateien
Die gesicherten Dateien werden mit dem Selbstschutz und mit Zugriffssteuerungslisten (ACL) gesichert.
Sicherungsdateien löschen
Die Sicherungsdateien können nur im abgesicherten Modus gelöscht oder gelöscht werden, wenn der Selbstschutz nicht aktiv ist. Sie werden gelöscht, nachdem der Prozess als nicht bösartig eingestuft wurde.
Schutz von gesicherten Dateien
Die Sicherungsdateien sind vor Verschlüsselung durch Ransomware geschützt.
Status der Sicherungsdaten
Die Dateien im Sicherungsordner sind verschlüsselt und haben einen ESET Dateityp. Beim Wiederherstellen wird der ursprüngliche Inhalt als Kopie mit _restored am Ende des Dateinamens wiederhergestellt.
Fälle, in denen keine Sicherung möglich ist
Ransomware kann keine gesperrten Dateien ändern (durch andere Prozesse, andere Betriebssysteme usw.). Die Einstellungen für die Zugriffssteuerungsliste (Access Control List, ACL) werden für die Originaldatei beibehalten.
Benutzerrechte von Dateien nach der Wiederherstellung
Die Wiederherstellung wirkt sich nicht auf zuvor definierte Benutzerrechte für die Originaldatei aus, aber für lokale (eingeschränkte) Benutzer können in der ACL definierte Einschränkungen gelten.
Schattenkopien verwenden
Der Windows-Schattenkopie-Dienst (VSS) ist anfällig für Angriffe. Ransomware kann verschlüsselte Kopien von Dateien erstellen und Originale anschließend sofort löschen. Dies ist ein regulärer Löschvorgang ohne direkte Änderung. Anschließend können alle Snapshots von VSS (falls sie erstellt wurden) verworfen werden, und eine Wiederherstellung ist nicht möglich. Aus diesem Grund verwendet ESET einen proprietären Copy-on-Write-Prozess, der vom Echtzeit-Dateischutz unterstützt wird.
Benutzerbenachrichtigungen für Sicherungen
Wenn der Ransomware-Schutz feststellt, dass das Dateiverhalten nicht problematisch ist, erhalten Benutzer oder Administratoren keine Benachrichtigungen. Der Speicher für die Ransomware-Behebung kann vorübergehend vergrößert und später gelöscht werden.
Sicherungsgeschwindigkeit
Die Sicherungsgeschwindigkeit hängt vom Festplattentyp und der CPU-Geschwindigkeit ab, sollte aber schnell genug sein, um unbemerkt zu bleiben.
Umgang mit verschlüsselten Dateien
Von Ransomware verschlüsselte Dateien werden zur weiteren Untersuchung im ursprünglichen Ordner aufbewahrt und können vom Benutzer gelöscht werden, wenn sie nicht mehr benötigt werden. Bei einer Fehlerkennung (z. B. Dateien, die von einer benutzerdefinierten Sicherungssoftware geändert wurden) können Sie diese Dateien verwenden, da sie nicht verschlüsselt wurden, und Dateien, die aus unserer Sicherung wiederhergestellt wurden, sind lediglich Kopien dieser Dateien.
