ESET Online nápověda

Hledat Čeština
Změnit kapitolu

Obnova po útoku ransomwarem

Obnovení funkčnosti

Tato funkce je určena pro ransomware nultého dne. Ochrana proti ransomware odhalí ransomware, ukončí jeho proces a umístí jej do karantény, což umožní funkci Obnova po útoku ransomwarem obnovit poškozené soubory. Kromě toho ESET Endpoint Security používá reputační systém ESET LiveGrid®, který pomáhá zlepšit celkovou účinnost odhalování škodlivého kódu. ESET navrhl ESET LiveGuard, aby přidal další vrstvu ochrany a vzdoroval novým celosvětovým hrozbám.

Ochrana složek a diskových jednotek

Podporovány jsou pouze jednotky naformátované systémem NTFS. Nejsou podporována žádná výměnná média, například flash disky nebo jiná USB zařízení. Všechny lokální diskové jednotky a složky jsou chráněny. Administrátor může nastavit výjimky z této ochrany. Není možné chránit pouze určitý soubor uvnitř složky. Toho lze částečně dosáhnout definováním přípon souborů, které je třeba chránit.

Funkce dostupné v předběžné verzi ESET PROTECT 6.0

V předběžné verzi ESET PROTECT 6.0 jsou nastavení viditelná, pokud je do instance přidán správný ConfigEngine a na klientském počítači je nainstalován ESET Management Agent 12.0 a novější. Tato funkce je určena pouze pro spravované produkty a není podporována na nespravovaných bezpečnostních produktech pro koncová zařízení. Po aktivaci se nastavení funkce Obnova po útoku ransomwarem objeví v lokální aplikaci v sekci Rozšířená nastavení > Ochrany > HIPS > Ochrana proti ransomware. Obnova po útoku ransomwarem musí být aktivována vhodnou licencí a politikou se zapnutým nastavením Obnovit soubory po ransomware útoku.

Spouštění zálohování

Ochrana proti ransomware spouští komponentu pro zálohování (Obnova po útoku ransomwarem). Ochrana souborů v reálném čase umožňuje zálohovací komponentě odložit zápisu do chráněných typů souborů a vytvářet kopie za běhu. Zálohování se spustí u procesů, které jsou Ochranou proti ransomware monitorovány a identifikovány jako podezřelé. ESET LiveGrid® musí být zapnutý, aby Ochrana proti ransomware fungovala správně. Ochrana souborů v reálném čase zaručuje, že zálohovací komponenta vždy vytvoří kopii dříve, než dojde k zápisu ransomwarem.

Možnost ručního zálohování

V současné době není možné provést ruční zálohování nebo obnovu.

Doba uchovávání zálohovaných dat

Dobu uchovávání není třeba nastavovat, protože zálohy jsou zlikvidovány ihned poté, co Ochrana proti ransomware vyhodnotí, že proces není škodlivý. Pokud Ochrana proti ransomware rozpozná proces jako škodlivý, soubory v záloze se obnoví do původních složek.

Omezení zálohování

Zálohování vyžaduje volné místo na lokální systémové jednotce. Proces zálohování se zastaví, pokud je volné místo na jednotce menší než minimální systémové požadavky. Maximální velikost souboru uchovávaného v záloze je 30 MB.

Cesta k úložišti záložních souborů

Záložní soubory se ukládají do složky C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Cloudové úložiště a výběr vlastní složky nejsou podporovány.

Ochrana souborů v záloze

Soubory záloh jsou chráněny pomocí ACL (Access Control List) a technologií Self-Defense.

Odstranění souborů v záloze

Záložní soubory nelze vymazat ani odstranit v nouzovém režimu, ve kterém není aktivní Self-Defense. Jsou odstraněny poté, co je proces vyhodnocen jako neškodný.

Ochrana souborů v záloze

Záložní soubory jsou chráněny před zašifrováním ransomwarem.

Stav záložních dat

Soubory ve složce zálohy jsou zašifrované a jsou ve formátu ESET. Původní obsah se obnoví jako kopie s _restored na konci názvu souboru.

Případy, kdy zálohování není možné

Ransomware nemůže změnit uzamčený soubor (například soubor uzamčený jiným procesem, operačním systémem atd.). Nastavení ACL (Access Control List) jsou zachována jako u původního souboru.

Uživatelská oprávnění u obnoveného souboru

Obnovení nemá vliv na dříve nastavená uživatelská oprávnění pro původní soubor, ale lokální uživatelé mohou být omezeni nastavením ACL.

Používání stínové kopie

Služba stínových kopií systému Windows (VSS) je náchylná k útokům. Ransomware dokáže vytvořit zašifrované kopie souborů a původní soubory poté ihned odstranit. Jedná se o běžnou operaci odstranění bez přímé úpravy. Následně mohou být smazány všechny VSS snapshoty (pokud byly vytvořeny) a obnova už nebude možná. Proto ESET používá vlastní proces „copy-on-write“, který je podporován Ochranou souborů v reálném čase.

Oznámení o zálohování

Pokud Ochrana proti ransomware zjistí, že chování souboru není problematické, uživateli ani administrátorovi se nezobrazí žádné oznámení. Úložiště Obnovy po útoku ransomwarem může dočasně narůst a později může být odstraněno.

Rychlost zálohování

Rychlost zálohování závisí na typu pevného disku a rychlosti procesoru, ale měla by být dostatečně rychlá, aby zůstala nepozorována.

Manipulace se zašifrovanými soubory

Soubory zašifrované ransomwarem se uchovávají v původní složce, aby mohly být dále zkoumány. Uživatel je může odstranit, pokud je již nepotřebuje. V případě falešných detekcí (např. souborů upravených vlastním zálohovacím softwarem) můžete tyto soubory použít, protože nebyly zašifrovány a soubory obnovené z naší zálohy jsou pouze kopiemi těchto souborů.

note

Jaké jsou rozdíly mezi ESET LiveGrid® a ESET LiveGuard?

Které úrovně bezpečnostního řešení podporují aktivaci Obnovy po útoku ransomwarem?