Correction pour rançongiciels
Restaurer la fonctionnalité
Cette fonctionnalité est conçue pour les rançongiciels de type « jour zéro ». Bouclier contre les rançongiciels détectera le rançongiciel, mettra fin à son processus et le mettra en quarantaine, permettant à Correction des rançongiciels de sauvegarder et de récupérer les fichiers endommagés. En outre, ESET Endpoint Antivirus utilise le système de réputation ESET LiveGrid® qui aide à améliorer l’efficacité globale contre les logiciels malveillants. ESET a conçu ESET LiveGuard afin d’ajouter une autre couche de protection et atténuer les nouvelles menaces existantes.
Protection des dossiers et des lecteurs
Seuls les lecteurs au format NTFS sont pris en charge. Aucun support amovible, tel que les lecteurs flash ou autres périphériques USB, n’est pris en charge. Tous les lecteurs et dossiers locaux sont protégés. L’administrateur peut définir des exclusions de cette protection. Il n’est pas possible de protéger uniquement un fichier spécifique à l’intérieur d’un dossier. Cela peut être partiellement géré en définissant des extensions de fichiers qui doivent être protégées.
Disponibilité des fonctionnalités dans la version préliminaire ESET PROTECT 6.0
Dans la version préliminaire ESET PROTECT 6.0, les paramètres sont visibles si la configuration de moteur appropriée est ajoutée à l’instance et que ESET Management Agent 12.0 ou une version plus récente est installée sur un ordinateur client. Cette fonctionnalité est gérée uniquement et n’est pas prise en charge pour les produits de sécurité des terminaux non gérés. Après l’activation, les paramètres de correction des rançongiciels apparaîtront localement dans Configuration avancée > Protections > HIPS > Bouclier contre les rançongiciels. Correction des rançongiciels doit être activé avec la licence appropriée et la politique doit avoir le paramètre Restaurer les fichiers après une attaque de rançongiciel activé.
Déclencheurs de sauvegarde
Le Bouclier contre les rançongiciels déclenche le composant de sauvegarde (Correction pour rançongiciels). La protection en temps réel du système de fichiers permet au composant de sauvegarde de retarder les opérations d’écriture sur les types de fichiers protégés et de créer des copies à la volée. La sauvegarde démarrera pour les processus surveillés et identifiés comme suspects par Bouclier contre les rançongiciels. ESET LiveGrid® doit être activé pour que Bouclier contre les rançongiciels fonctionne correctement. La protection en temps réel du système de fichiers peut garantir que le composant de sauvegarde peut toujours créer une copie avant que l’opération d’écriture demandée par le rançongiciel puisse se produire.
Option de sauvegarde manuelle
Actuellement, l’option de sauvegarde manuelle ou de restauration n’est pas offerte.
Période de conservation des données sauvegardées
Aucune période de rétention n’est nécessaire, car les sauvegardes sont supprimées immédiatement une fois que le bouclier contre les rançongiciels détermine que le processus n’est pas malveillant. Si le bouclier contre les rançongiciels détecte que le processus est malveillant, les fichiers de la sauvegarde sont restaurés dans leurs dossiers d’origine.
Limitations de sauvegarde
La sauvegarde nécessite de l’espace libre sur le lecteur système local. Le processus de sauvegarde s’arrêtera si l’espace libre sur le volume est inférieur à la configuration système minimale requise. La taille maximale d’un fichier conservé en sauvegarde est de 30 Mo.
Chemin de stockage des fichiers de sauvegarde
Les fichiers de sauvegarde sont stockés dans C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Le stockage en nuage et la sélection de dossiers personnalisés ne sont pas pris en charge.
Protection des fichiers en sauvegarde
La liste d’autodéfense et de contrôle d’accès (ACL) protège les fichiers de sauvegarde.
Suppression de fichiers en sauvegarde
Les fichiers de sauvegarde ne peuvent pas être effacés ou supprimés sauf en mode sans échec, où l’autodéfense n’est pas active. Ils sont supprimés une fois que le processus est considéré comme non malveillant.
Protection des fichiers en sauvegarde
Les fichiers de sauvegarde sont protégés contre le chiffrement par le rançongiciel.
État des données de sauvegarde
Les fichiers du dossier de sauvegarde sont chiffrés et dans le type de fichier ESET. Une fois récupéré, le contenu d’origine est restauré en tant que copie avec _restored à la fin du nom de fichier.
Cas où la sauvegarde n’est pas possible
Les rançongiciels ne peuvent pas modifier un fichier verrouillé (par exemple, verrouillé par un autre processus ou le système d’exploitation, etc.). Les paramètres de la liste de contrôle d’accès (ACL) sont maintenus pour le fichier d’origine.
Privilèges utilisateur d’un fichier après la restauration
La restauration n’affecte pas les privilèges utilisateur précédemment définis pour le fichier d’origine, mais les utilisateurs locaux (restreints) peuvent faire face à des restrictions définies par la liste de contrôle d’accès.
Utilisation du cliché instantané
Le service VSS (Shadow Copy Service) de Windows est vulnérable aux attaques. Les rançongiciels peuvent créer des copies chiffrées de fichiers et supprimer les originaux immédiatement par la suite. Il s’agit d’une opération de suppression régulière sans modification directe. Ensuite, tous les instantanés de VSS (s’ils ont été créés) peuvent être ignorés, et aucune récupération n’est possible. Par conséquent, ESET utilise un processus propriétaire de copie sur écriture appuyé par la protection en temps réel du système de fichiers.
Notifications utilisateur pour les sauvegardes
Si le bouclier contre les rançongiciels détermine que le comportement du fichier n’est pas problématique, aucune notification n’est affichée à l’utilisateur ou à l’administrateur. Le stockage de correction des rançongiciels peut temporairement augmenter de taille et être supprimé ultérieurement.
Vitesse de sauvegarde
La vitesse de sauvegarde dépend du type de disque dur et de la vitesse du processeur, mais doit être suffisamment rapide pour rester inaperçue.
Traitement des fichiers chiffrés
Les fichiers chiffrés par un rançongiciel sont conservés dans le dossier d'origine en vue d'une enquête ultérieure et peuvent être supprimés par l'utilisateur s'il n'en a plus besoin. En cas de faux positifs (par exemple, des fichiers modifiés par un logiciel de sauvegarde personnalisé), vous pouvez utiliser ces fichiers, car ils n’ont pas été chiffrés, et les fichiers récupérés à partir de notre sauvegarde sont des copies de ces fichiers uniquement.
