Ransomware-avhjelpning
Gjenopprett funksjonalitet
Funksjonen er designet for nulldag-ransomware. Beskyttelse mot ransomware sørger for å oppdage ransomware, slik at prosessen avsluttes og ransomware-filen(e) settes i karantene. Dette lar Gjenopprettelse etter ransomware-funksjonen ta en sikkerhetskopi og gjenopprette de skadede filene. I tillegg bruker ESET Endpoint Antivirus ESET LiveGrid®-omdømmesystemet, som bidrar til å forbedre den samlede effektiviteten mot skadelig programvare. ESET utformet ESET LiveGuard for å være et ekstra sikkerhetslag for å beskytte deg mot trusler.
Mappe- og stasjonsbeskyttelse
Bare NTFS-formaterte stasjoner støttes. Ingen flyttbare medier, som for eksempel flash-stasjoner eller andre USB-enheter, støttes. Alle lokale stasjoner og mapper beskyttes. Administratoren kan definere utelatelser fra denne beskyttelsen. Det er ikke mulig å beskytte bare én spesifikk fil i en mappe. Dette kan delvis gjennomføres ved å definere hvilke filutvidelser som skal beskyttes.
Funksjonens tilgjengelighet i forhåndsversjonen til ESET PROTECT 6.0
I forhåndsversjonen til ESET PROTECT 6.0 er innstillingene synlige hvis riktig ConfigEngine er lagt til i forekomsten og ESET Management Agent 12.0 og nyere er installert på en klientdatamaskin. Denne funksjonen må administreres og støttes ikke på ikke-administrerte sikkerhetsprodukter for endepunkter. Etter aktivering vises innstillingene for Gjenopprettelse etter ransomware i lokalt Avansert oppsett > Beskyttelser > HIPS > Beskyttelse mot ransomware. Gjenopprettelse etter ransomware må være aktivert med egnet lisens og retningslinjer med Gjenopprett filer etter et ransomware-angrep-innstillingen aktivert.
Aktiveringskriterier for sikkerhetskopiering
Beskyttelse mot ransomware aktiverer sikkerhetskopieringskomponenten (Gjenopprettelse etter ransomware). Filsystembeskyttelse i sanntid gjør at sikkerhetskopieringskomponenten kan forsinke skriveoperasjoner til beskyttede filtyper og samtidig opprette kopier. Sikkerhetskopieringen starter for prosesser som overvåkes og identifiseres som mistenkelige av Beskyttelse mot ransomware. ESET LiveGrid® må være aktivert for at Beskyttelse mot ransomware skal fungere. Filsystembeskyttelse i sanntid kan garantere at sikkerhetskopieringskomponenten alltid oppretter en kopi før den forespurte skriveoperasjonen til ransomware-filen(e) kan utføres.
Alternativ for manuell sikkerhetskopiering
For øyeblikket er alternativet for manuell sikkerhetskopiering eller gjenoppretting ikke tilgjengelig.
Oppbevaringsperiode for sikkerhetskopierte data
Ingen oppbevaringsperiode er nødvendig, da sikkerhetskopier forkastes umiddelbart etter at Beskyttelse mot ransomware har fastslått at prosessen ikke er skadelig. Hvis Beskyttelse mot ransomware vurderer prosessen som skadelig, gjenopprettes filene i sikkerhetskopien i sine opprinnelige mapper.
Begrensninger på sikkerhetskopiering
Sikkerhetskopiering krever ledig lagringsplass på den lokale systemstasjonen. Sikkerhetskopieringsprosessen stopper hvis ledig plass på volumet er under minstesystemkravene. Maksimal størrelse til en fil som oppbevares i sikkerhetskopien, er 30 MB.
Lagringsbane for sikkerhetskopierte filer
Sikkerhetskopierte filer lagres i C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Skylagring og egendefinerte mappevalg støttes ikke.
Beskyttelse av filer i sikkerhetskopien
Beskytte deg selv og Tilgangskontrolliste (ACL) beskytter de sikkerhetskopierte filene.
Sletting av filer i sikkerhetskopien
Sikkerhetskopierte filer kan ikke fjernes eller slettes med mindre du er i sikker modus, der Beskytte deg selv ikke er aktiv. De slettes etter at prosessen har blitt vurdert som ikke skadelig.
Beskyttelse av filer i sikkerhetskopien
Sikkerhetskopierte filer er beskyttet mot å bli kryptert av ransomware.
Status til sikkerhetskopierte data
Filer i sikkerhetskopimappen er kryptert og lagret som ESET-filtype. Når dataene gjenopprettes, gjenopprettes det opprinnelige innholdet som en kopi med _restored på slutten av filnavnet.
Tilfeller der sikkerhetskopiering ikke er mulig
Ransomware kan ikke endre en låst fil (for eksempel en fil låst av en annen prosess, som operativsystemet osv.). Innstillinger for Tilgangskontrolliste (ACL) respekteres for den opprinnelige filen.
Brukerrettigheter for en fil etter gjenoppretting
Gjenopprettingen påvirker ikke tidligere definerte brukerrettigheter for originalfilen, men lokale (begrensede) brukere kan møte på begrensninger definert av ACL.
Bruk av skyggekopi
Windows Shadow Copy Service (VSS) er utsatt for angrep. Ransomware kan lage krypterte kopier av filer og slette originalene umiddelbart etterpå. Dette er en vanlig sletteoperasjon uten direkte endringer. Deretter kan den forkaste alle øyeblikksbilder av VSS (hvis de ble opprettet), og ingen gjenoppretting vil være mulig. Derfor bruker ESET en proprietær kopier-ved-skriving-prosess støttet av Filsystembeskyttelse i sanntid.
Brukervarsler ved sikkerhetskopieringer
Hvis Beskyttelse mot ransomware fastslår at filens adferd ikke er problematisk, vil det ikke vises varsler til brukeren eller administratoren. Lagringsplassen som Gjenopprettelse etter ransomware-funksjonen bruker, kan utvides midlertidig og senere slettes.
Sikkerhetskopieringshastighet
Sikkerhetskopieringshastigheten avhenger av harddisktypen og CPU-hastigheten, men bør være rask nok til at du ikke merker noe.
Håndtering av krypterte filer
Filer som er kryptert av ransomware oppbevares i den opprinnelige mappen for videre undersøkelse og kan slettes av brukeren når de ikke lenger er nødvendige. I tilfelle falsk-positive-resultater (f.eks. filer endret av brukerdefinerte sikkerhetskopiprogrammer), kan du bruke disse filene siden de ikke ble kryptert, og filene som gjenopprettes fra sikkerhetskopien vår, vil kun være kopier av disse filene.
