랜섬웨어 수정
복원 기능
이 기능은 제로 데이 랜섬웨어를 위해 설계되었습니다. 랜섬웨어 보호는 랜섬웨어를 탐지하고 랜섬웨어 프로세스를 종료 및 검역소로 이동하여 랜섬웨어 수정이 손상된 파일을 백업 및 복구할 수 있도록 합니다. 또한 ESET Endpoint Antivirus은(는) 악성코드 대응의 전반적인 효율성을 향상시키는 데 도움이 되는 ESET LiveGrid® 평판 시스템을 사용합니다. ESET은 보안을 한층 강화하고 실제 환경에 존재하는 새로운 위협을 완화하기 위해 ESET LiveGuard를 설계했습니다.
폴더 및 드라이브 보호
NTFS로 포맷된 드라이브만 지원됩니다. 플래시 드라이브 또는 기타 USB 장치와 같은 이동식 미디어는 지원되지 않습니다. 모든 로컬 드라이브와 폴더가 보호됩니다. 관리자는 이 보호에서 제외할 항목을 정의할 수 있습니다. 폴더 내의 특정 파일만 보호할 수는 없습니다. 이는 보호해야 하는 파일 확장명을 정의하여 부분적으로 실현할 수 있습니다.
ESET PROTECT 6.0 시험판의 기능 가용성
ESET PROTECT 6.0 시험판 버전에서는 올바른 ConfigEngine이 인스턴스에 추가되고 ESET Management Agent 12.0 이상이 클라이언트 컴퓨터에 설치된 경우 설정이 표시됩니다. 이 기능은 관리 전용이며 관리되지 않는 엔드포인트 보안 제품에는 지원되지 않습니다. 활성화 후 랜섬웨어 수정 설정이 로컬 고급 설정 > 보호 > HIPS > 랜섬웨어 보호에 표시됩니다. 랜섬웨어 수정을 활성화하려면 적절한 라이선스와 랜섬웨어 공격 후 파일 복원 설정이 활성화된 정책이 필요합니다.
백업 트리거
랜섬웨어 보호는 백업 구성 요소(랜섬웨어 수정)를 트리거합니다. 백업 구성 요소는 실시간 파일 시스템 보호를 통해 보호된 파일 형식에 대한 쓰기 작업을 지연시키고 복사본을 즉시 생성할 수 있습니다. 랜섬웨어 보호에 의해 모니터링되고 의심스러운 것으로 식별된 프로세스에 대한 백업이 시작됩니다. 랜섬웨어 보호가 제대로 작동하려면 ESET LiveGrid®를 활성화해야 합니다. 실시간 파일 시스템 보호는 랜섬웨어가 요청한 쓰기 작업이 발생하기 전에 백업 구성 요소가 항상 복사본을 생성할 수 있도록 합니다.
수동 백업 옵션
현재로서는 수동 백업 옵션 또는 복원을 사용할 수 없습니다.
백업된 데이터의 보존 기간
랜섬웨어 보호가 악성이 아닌 프로세스라고 판단한 경우 백업이 즉시 삭제되므로 보존 기간이 필요하지 않습니다. 랜섬웨어 보호가 프로세스를 악성으로 탐지하면 백업에 포함된 파일이 원본 폴더로 복원됩니다.
백업 제한 사항
백업하려면 로컬 시스템 드라이브에 여유 공간이 필요합니다. 볼륨의 여유 공간이 최소 시스템 요구 사항 미만인 경우 백업 프로세스가 중지됩니다. 백업에 보관되는 파일의 최대 크기는 30MB입니다.
백업 파일 저장소 경로
백업 파일은 C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}에 저장됩니다. 클라우드 저장소 및 사용자 지정 폴더 선택은 지원되지 않습니다.
백업에 포함된 파일 보호
자기 보호 및 접근 제어 목록(ACL)은 백업 파일을 보호합니다.
백업에 포함된 파일 제거
안전 모드(자기 보호가 활성화되지 않음)가 아닌 경우 백업 파일을 지우거나 제거할 수 없습니다. 백업 파일은 프로세스가 악성이 아닌 것으로 간주된 후 제거됩니다.
백업에 포함된 파일 보호
백업 파일은 랜섬웨어에 의한 암호화로부터 보호됩니다.
백업 데이터의 상태
백업 폴더의 파일은 암호화되어 ESET 파일 형식으로 저장됩니다. 파일이 복구되면 원본 콘텐츠가 파일 이름 끝에 _restored가 추가된 복사본으로 복원됩니다.
백업이 불가능한 경우
랜섬웨어는 잠긴 파일(예: 다른 프로세스, 운영 체제 등에 의해 잠김)을 수정할 수 없습니다. 원본 파일의 접근 제어 목록(ACL) 설정은 유지됩니다.
복원 후 파일의 사용자 권한
복원은 이전에 원본 파일에 정의된 사용자 권한에 영향을 주지 않지만, 로컬(제한된) 사용자는 ACL에 의해 정의된 제한에 직면할 수 있습니다.
섀도 복사본 사용
Windows 섀도 복사본 서비스(VSS)는 공격에 취약합니다. 랜섬웨어가 암호화된 파일 복사본을 생성한 후 원본을 한 번에 제거할 수 있습니다. 이는 직접 수정이 포함되지 않은 일반 제거 작업입니다. 그런 다음 랜섬웨어는 VSS의 모든 스냅샷(생성된 경우)을 제거할 수 있으며, 이 경우 복구가 불가능합니다. 따라서 ESET은 실시간 파일 시스템 보호로 구동되는 독점적인 쓰기 시 복사 프로세스를 사용합니다.
백업에 대한 사용자 알림
랜섬웨어 보호가 파일 동작에 문제가 없다고 판단하면 사용자 또는 관리자에게 알림이 표시되지 않습니다. 랜섬웨어 수정 저장소는 일시적으로 크기가 증가할 수 있으며, 나중에 제거됩니다.
백업 속도
백업 속도는 하드 드라이브 유형과 CPU 속도에 따라 다르지만, 눈에 띄지 않을 만큼 충분히 빠릅니다.
암호화된 파일 처리
랜섬웨어에 의해 암호화된 파일은 추가 조사를 위해 원본 폴더에 보관되며, 더 이상 필요하지 않은 경우 사용자가 제거할 수 있습니다. 오탐지가 발생한 경우(예: 사용자 지정 백업 소프트웨어에 의해 수정된 파일) 이러한 파일은 암호화되지 않은 상태이므로 그대로 사용할 수 있으며, 백업에서 복구된 파일은 해당 파일의 복사본일 뿐입니다.
