Herstel na ransomware
Functionaliteit herstellen
De functie is ontworpen voor zero-day ransomware. Ransomware Shield detecteert de ransomware, beëindigt het proces en plaatst het in quarantaine. Met Herstel na ransomware wordt vervolgens een back-up van beschadigde bestanden gemaakt en worden deze bestanden hersteld. Daarnaast maakt ESET Endpoint Antivirus gebruik van het ESET LiveGrid®-reputatiesysteem dat helpt om de algemene efficiëntie tegen malware te verbeteren. ESET is ontworpen ESET LiveGuard om een extra beveiligingslaag toe te voegen en de gevolgen van nieuwe bedreigingen te beperken.
Map- en schijfbeveiliging
Alleen NTFS-schijven worden ondersteund. Verwisselbare media, zoals flashstations of andere USB-apparaten, worden niet ondersteund. Alle lokale stations en mappen zijn beveiligd. De beheerder kan uitsluitingen voor deze beveiliging definiëren. Het is niet mogelijk om alleen een specifiek bestand in een map te beveiligen. U kunt wel bestandsextensies definiëren die moeten worden beveiligd.
Beschikbaarheid van functies in de pre-release van ESET PROTECT 6.0
In de pre-releaseversie van ESET PROTECT 6.0 zijn de instellingen zichtbaar als de juiste ConfigEngine aan het exemplaar is toegevoegd en ESET Management Agent 12.0 en nieuwer op een clientcomputer is geïnstalleerd. Deze functie is alleen voor beheerde onderdelen en wordt niet ondersteund voor beveiligingsproducten voor onbeheerde endpoints. Na activering worden de instellingen voor Herstel na ransomware weergegeven in het lokale pad Geavanceerde instellingen > Beveiliging > HIPS > Ransomware Shield. Herstel na ransomware moet worden geactiveerd met de juiste licentie en het beleid waarvoor de instelling Bestanden herstellen na een ransomware-aanval is ingeschakeld.
Triggers voor back-ups
Ransomware Shield activeert het back-uponderdeel (Herstel na ransomware). En door Realtimebeveiliging van bestandssysteem kan het back-uponderdeel schrijfbewerkingen naar beveiligde bestandstypen uitstellen en ondertussen kopieën maken. De back-up wordt gestart voor processen die met Ransomware Shield worden bewaakt en als verdacht zijn aangemerkt. Ransomware Shield werkt alleen goed als ESET LiveGrid® is ingeschakeld. Realtimebeveiliging van bestandssysteem zorgt ervoor dat het back-uponderdeel altijd een kopie kan maken voordat de gevraagde schrijfbewerking door ransomware kan plaatsvinden.
Optie voor handmatige back-up
Momenteel is de optie voor handmatige back-up of herstel niet mogelijk.
Bewaarperiode voor back-upgegevens
Er is geen bewaarperiode nodig omdat back-ups onmiddellijk worden verwijderd nadat Ransomware Shield heeft vastgesteld dat het proces niet schadelijk is. Als Ransomware Shield een proces detecteert en als schadelijk beschouwt, worden de bestanden in de back-up teruggezet naar hun oorspronkelijke mappen.
Beperkingen voor back-ups
Voor het maken van een back-up is vrije ruimte op het lokale systeemstation vereist. Het back-upproces wordt gestopt als de vrije ruimte op het volume lager is dan de minimale systeemvereisten. De maximale grootte van een bestand dat in back-up wordt bewaard, is 30 MB.
Opslagpad voor back-upbestanden
Back-upbestanden worden opgeslagen in C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Cloudopslag en aangepaste selectie van mappen worden niet ondersteund.
Beveiliging van bestanden in de back-up
De back-upbestanden worden beveiligd door Zelfverdediging en ACL (Access Control List, toegangsbeheerlijst).
Verwijderen van bestanden in back-up
Back-upbestanden kunnen niet worden gewist of verwijderd, tenzij in de veilige modus, waar Zelfverdediging niet actief is. Ze worden verwijderd nadat het proces is aangemerkt als niet-schadelijk.
Beveiliging van bestanden in de back-up
Back-upbestanden zijn beveiligd tegen versleuteling door ransomware.
Status van back-upgegevens
Bestanden in de back-upmap zijn versleuteld en hebben het ESET-bestandstype. Wanneer de oorspronkelijke inhoud is hersteld, wordt deze teruggezet als een kopie met _restored aan het einde van de bestandsnaam.
Gevallen waarin de back-up niet mogelijk is
Ransomware kan een vergrendeld bestand niet wijzigen (bijvoorbeeld vergrendeld door een ander proces, besturingssysteem, enz.). De instellingen van de toegangsbeheerlijst (ACL) blijven behouden voor het oorspronkelijke bestand.
Gebruikersbevoegdheden voor een bestand na herstel
Het herstel heeft geen invloed op eerder gedefinieerde gebruikersbevoegdheden voor het oorspronkelijke bestand, maar lokale (beperkte) gebruikers kunnen te maken krijgen met beperkingen die zijn gedefinieerd door ACL.
Gebruik van schaduwkopie
Windows Shadow Copy Service (VSS) is ontvankelijk voor aanvallen. Ransomware kan versleutelde kopieën van bestanden maken en de oorspronkelijke meteen verwijderen. Dit is een normale verwijderbewerking zonder directe wijziging. Vervolgens kunnen alle snapshots van VSS (indien gemaakt) worden genegeerd en is er geen herstel mogelijk. Daarom maakt ESET gebruik van een eigen copy-on-write-proces (kopiëren bij schrijven) dat wordt ondersteund door Realtimebeveiliging van bestandssysteem.
Gebruikersmeldingen voor back-ups
Als Ransomware Shield vaststelt dat het bestandsgedrag niet problematisch is, worden er geen meldingen weergegeven voor de gebruiker of beheerder. De opslag van Herstel na ransomware kan tijdelijk toenemen en later worden verwijderd.
Back-upsnelheid
De back-upsnelheid is afhankelijk van het type harde schijf en de CPU-snelheid, maar moet snel genoeg zijn om onopgemerkt te blijven.
Verwerking van versleutelde bestanden
Bestanden die door ransomware zijn versleuteld, worden in de oorspronkelijke map bewaard voor verder onderzoek en kunnen door de gebruiker worden verwijderd als ze niet meer nodig zijn. In het geval van vals-positieven (bijv. bestanden die zijn gewijzigd door aangepaste back-upsoftware) kunt u deze bestanden gebruiken omdat ze niet zijn versleuteld en bestanden die zijn hersteld vanuit onze back-up, zijn alleen kopieën van die bestanden.
