Отстраняване на проблеми, причинени от рансъмуер
Функция за възстановяване
Функцията е предназначена за рансъмуер „нулев ден“. „Щит срещу рансъмуер“ ще открие рансъмуера, ще прекрати процеса му и ще го постави под карантина, което ще позволи на „Отстраняване на проблеми, причинени от рансъмуер“ да архивира и възстановява повредени файлове. Освен това ESET Endpoint Security използва системата за репутация ESET LiveGrid®, която помага за подобряване на цялостната ефективност срещу злонамерен софтуер. ESET проектира ESET LiveGuard, за да добави още един слой на защита и да смекчи новите заплахи в практиката.
Защита на папки и дискове
Поддържат се само NTFS форматирани дискове. Не се поддържат преносими носители, като флаш устройства или други USB устройства. Всички локални дискове и папки са защитени. Администраторът може да определи изключения от тази защита. Не е възможно да се защити само конкретен файл в папка. Това може да се управлява частично чрез дефиниране на файлови разширения, които трябва да бъдат защитени.
Наличност на функцията в предварителната версия на ESET PROTECT 6.0
В предварителната версия на ESET PROTECT 6.0 настройките са видими, ако към екземпляра се добави правилният ConfigEngine и на клиентски компютър е инсталиран ESET Management Agent 12.0 и по-нови версии. Тази функция е само управлявана и не се поддържа за неуправлявани продукти за защита на крайни точки. След активиране настройките на „Отстраняване на проблеми, причинени от рансъмуер“ ще се появят в локалната Разширена настройка > Защити > HIPS > Щит срещу рансъмуер. „Отстраняване на проблеми, причинени от рансъмуер“ трябва да бъде активирано с подходящ лиценз и правилата с активирана настройка Възстановяване на файлове след атака с рансъмуер.
Активирания на архивиране
Щит срещу рансъмуер активира компонента за архивиране (Отстраняване на проблеми, причинени от рансъмуер). Защитата на файловата система в реално време позволява на компонента за архивиране да отложи операциите по запис на защитени типове файлове и да създава копия в движение. Архивирането ще започне за процеси, наблюдавани и идентифицирани като подозрителни от „Щит срещу рансъмуер“. ESET LiveGrid® трябва да е активиран, за да функционира правилно „Щит срещу рансъмуер“. Защитата на файловата система в реално време може да гарантира, че компонентът за архивиране винаги може да създаде копие, преди да може да се изпълни исканата операция за запис от рансъмуер.
Опция за ръчно архивиране
В момента опцията за ръчно архивиране или възстановяване не е възможна.
Период на съхранение на архивираните данни
Не е необходим период на съхранение, тъй като архивните копия се отхвърлят веднага след като „Щит срещу рансъмуер“ установи, че процесът не е злонамерен. Ако „Щит срещу рансъмуер“ открие процеса като злонамерен, файловете в архивното копие се възстановяват в оригиналните им папки.
Ограничения за архивиране
Архивирането изисква свободно място на локалния системен диск. Процесът на архивиране ще спре, ако свободното пространство на тома е под минималните системни изисквания. Максималният размер на файл, съхраняван в архивно копие, е 30 MB.
Път за съхранение на архивни файлове
Архивните файлове се съхраняват в C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Съхранението в облака и изборът на персонализирана папка не се поддържат.
Защита на файлове в архивно копие
Самозащитата и списъкът за контрол на достъпа (ACL) защитават архивните файлове.
Премахване на файлове в архивно копие
Архивните файлове не могат да бъдат изтрити или премахнати, освен ако не са в безопасен режим, където самозащитата не е активна. Те се премахват, след като процесът се счита за незлонамерен.
Защита на файлове в архивно копие
Архивните файлове са защитени от криптиране чрез рансъмуер.
Състояние на архивните данни
Файловете в папката за архивиране са шифровани и са с файлов тип ESET. Когато бъде възстановено, оригиналното съдържание се възстановява като копие с _restored в края на името на файла.
Случаи, когато архивирането не е възможно
Рансъмуерът не може да променя заключен файл (например заключен от друг процес, операционна система и т.н.). Настройките на списъка за контрол на достъпа (ACL) се поддържат за оригиналния файл.
Потребителски привилегии на файл след възстановяване
Възстановяването не засяга предварително дефинираните потребителски привилегии за оригиналния файл, но локалните (ограничени) потребители могат да се сблъскат с ограничения, определени от ACL.
Използване на статично копие на данни
Услугата за статично копие на данни на Windows (VSS) е податлива на атаки. Рансъмуерът може да създава криптирани копия на файлове и да изтрива оригиналите наведнъж след това. Това е обикновена операция по изтриване без директна модификация. След това може да изхвърли всички моментни снимки на VSS (ако са създадени) и не е възможно възстановяване. Следователно ESET използва собствен процес на копиране при запис, поддържан от Защита на файловата система в реално време.
Потребителски известия за архивни копия
Ако „Щит срещу рансъмуер“ установи, че поведението на файла не е проблематично, не се показват известия на потребителя или администратора. Хранилището на „Отстраняване на проблеми, причинени от рансъмуер“ може временно да се увеличи и по-късно да бъде премахнато.
Скорост на архивиране
Скоростта на архивиране зависи от типа на твърдия диск и скоростта на процесора, но трябва да е достатъчно висока, за да остане незабелязана.
Обработка на криптирани файлове
Криптираните файлове от рансъмуер се съхраняват в оригиналната папка за по-нататъшно разследване и могат да бъдат изтрити от потребителя, ако вече не са необходими. В случай на фалшиви положителни резултати (напр. файлове, модифицирани от персонализиран софтуер за архивиране) можете да използвате тези файлове, тъй като те не са криптирани и файловете, възстановени от нашето архивиране, са копия само на тези файлове.
