ESETオンラインヘルプ

検索 日本語
トピックを選択

ランサムウェアの修復

復元機能

この機能は、ゼロデイランサムウェア対応として設計されています。ランサムウェア保護はランサムウェアを検出して、そのプロセスを終了して隔離し、ランサムウェア修復で破損したファイルをバックアップおよび回復できるようにします。さらに、ESET Endpoint Antivirusはマルウェアに対する全体的な効率を向上させるのに役立つESET LiveGrid®レピュテーションシステムを使用します。ESETは、保護の別のレイヤーを追加し、未対応の新しい脅威を軽減するようにESET LiveGuardを設計しました。

フォルダーとドライブの保護

NTFSでフォーマットされたドライブのみがサポートされています。フラッシュドライブやその他のUSBデバイスなどのリムーバブル メディアはサポートされていません。すべてのローカルドライブとフォルダーが保護されています。管理者はこの保護からの除外を定義できます。フォルダーの特定のファイルだけを保護することはできません。これは、保護する必要があるファイル拡張子を定義することで部分的に管理できます。

ESET PROTECT 6.0プレリリースでの機能の可用性

ESET PROTECT 6.0プレリリース版では、正しいConfigEngineがインスタンスに追加され、ESET Managementエージェント12.0以降がクライアントコンピューターにインストールされている場合、設定が表示されます。この機能は管理専用であり、管理されていないエンドポイントセキュリティ製品ではサポートされていません。アクティベーション後、ランサムウェア修復設定は、ローカルの詳細設定 > 保護 > HIPS > ランサムウェア保護に表示されます。ランサムウェア修復は、適切なライセンスでアクティベーションし、ポリシーでランサムウェア攻撃後のファイルの復元設定を有効にする必要があります。

バックアップトリガー

ランサムウェア保護は、バックアップコンポーネント(ランサムウェア修復)をトリガーします。リアルタイムファイルシステム保護により、バックアップコンポーネントは保護されたファイルタイプへの書き込み処理を遅らせ、その場でコピーを作成できます。バックアップは、ランサムウェア保護によって監視され、不審なプロセスとして特定されたプロセスに対して開始されます。ランサムウェア保護を正常に機能させるには、ESET LiveGrid®を有効にする必要があります。リアルタイムファイルシステム保護により、ランサムウェアによる要求された書き込み処理が発生する前に、バックアップコンポーネントが常にコピーを作成できることを保証できます。

手動バックアップオプション

現在、手動バックアップオプションまたは復元は実行できません。

バックアップされたデータの保持期間

バックアップは、ランサムウェア保護がプロセスに悪意がないと判断した直後に破棄されるため、保持期間は必要ありません。ランサムウェア保護がプロセスを悪意のあるプロセスとして検出した場合、バックアップのファイルが元のフォルダーに復元されます。

バックアップの制限

バックアップには、ローカルシステムドライブの空き領域が必要です。ボリュームの空き領域が最小システム要件を下回ると、バックアッププロセスが停止します。バックアップに保持されるファイルの最大サイズは30 MBです。

バックアップファイルの保存パス

バックアップファイルはC:\ProgramData\ESET\ESET Security\RR\backup\{GUID}に保存されます。クラウドストレージとカスタムフォルダーの選択はサポートされていません。

バックアップのファイルの保護

自己防衛およびアクセス制御リスト(ACL)は、バックアップファイルを保護します。

バックアップのファイルの削除

バックアップファイルは、自己防衛がアクティブになっていないセーフモード以外では、消去または削除できません。これらは、プロセスに悪意がないと見なされた後に削除されます。

バックアップのファイルの保護

バックアップファイルは、ランサムウェアによる暗号化から保護されています。

バックアップデータの状態

バックアップフォルダーのファイルは暗号化され、ESETファイルタイプです。復元されると、元の内容はファイル名の末尾に_restoredが付いたコピーとして復元されます。

バックアップが不可能な場合

ランサムウェアは、ロックされたファイル(別のプロセス、オペレーティングシステムによってロックされているファイルなど)を変更できません。アクセス制御リスト(ACL)の設定は、元のファイルに対して維持されます。

復元後のファイルのユーザー権限

復元は、元のファイルに対して以前に定義されたユーザー権限には影響しませんが、ローカル(制限された)ユーザーはACLで定義された制限の影響を受ける可能性があります。

シャドウコピーの使用

Windowsシャドウコピーサービス(VSS)は攻撃を受けやすいサービスです。ランサムウェアは、ファイルの暗号化されたコピーを作成し、後で元のファイルを一度に削除できます。これは、直接変更しない通常の削除処理です。その後、VSSのすべてのスナップショット(作成されている場合) を破棄できるため、回復は不可能になります。このため、ESETは、リアルタイムファイルシステム保護に支えられた独自のコピーオンライトプロセスを使用します。

バックアップのユーザー通知

ランサムウェア保護がファイルの動作に問題がないと判断した場合、ユーザーまたは管理者に通知は表示されません。ランサムウェア修復ストレージは一時的に増加し、後で削除される場合があります。

バックアップ速度

バックアップ速度は、ハードドライブの種類とCPU速度によって異なりますが、気付かれないように十分な速度である必要があります。

暗号化されたファイルの処理

ランサムウェアによって暗号化されたファイルは、さらに調査を行うために元のフォルダーに保持されます。不要になった場合はユーザーが削除できます。誤検知(カスタムバックアップソフトウェアによって変更されたファイルなど)の場合、これらのファイルは暗号化されていないため使用できます。バックアップから復元されたファイルはそれらのファイルのコピーにすぎません。

note

ESET LiveGrid®とESET LiveGuardの違いは何ですか?

ランサムウェア修復のアクティベーションはどのライセンスティアでサポートされていますか?