Afhjælpning af ransomware
Gendan funktionalitet
Funktionen er designet til zero-day ransomware. Ransomware-beskyttelse registrerer ransomwaren, afslutter dens proces og sætter den i karantæne, så Ransomware-afhjælpning kan sikkerhedskopiere og gendanne beskadigede filer. Derudover bruger ESET Endpoint Security omdømmesystemet i ESET LiveGrid®, der hjælper med at forbedre den samlede effektivitet mod malware. ESET udviklede ESET LiveGuard for at tilføje endnu et lag af beskyttelse og afbøde nye trusler, der spredes ukontrolleret.
Beskyttelse af mappe og drev
Kun NTFS-formaterede drev understøttes. Der understøttes ingen flytbare medier, f.eks. flashdrev eller andre USB-enheder. Alle lokale drev og mapper er beskyttet. Administratoren kan definere udeladelser fra denne beskyttelse. Det er ikke muligt kun at beskytte en bestemt fil i en mappe. Dette kan delvist styres ved at definere filtypenavne, der skal beskyttes.
Funktionernes tilgængelighed i den foreløbige version af ESET PROTECT 6.0
I den foreløbige version af ESET PROTECT 6.0 er indstillingerne synlige, hvis den korrekte ConfigEngine er føjet til forekomsten, og ESET Management Agent 12.0 eller nyere er installeret på en klientcomputer. Denne funktion administreres kun og understøttes ikke for ikke-administrerede sikkerhedsprodukter til slutpunkter. Efter aktivering vises indstillingerne for ransomware-afhjælpning i den lokale Avanceret opsætning > Beskyttelse > HIPS > Ransomware-beskyttelse. Ransomware-afhjælpningen skal aktiveres med en relevant licens og politikken med indstillingen Gendan filer efter et ransomware-angreb aktiveret.
Udløsere til sikkerhedskopiering
Ransomware-beskyttelse udløser sikkerhedskopieringskomponenten (Ransomware-afhjælpning). Beskyttelse af filsystemet i realtid gør det muligt for sikkerhedskopieringskomponenten at forsinke skrivehandlinger for beskyttede filtyper og løbende oprette kopier. Sikkerhedskopieringen starter for processer, der overvåges og identificeres som mistænkelige af Ransomware-beskyttelse. ESET LiveGrid® skal være aktiveret, for at Ransomware-beskyttelse fungerer korrekt. Beskyttelse af filsystemet i realtid kan garantere, at sikkerhedskopieringskomponenten altid kan oprette en kopi, før skrivehandlingen, som ransomware anmoder om, kan finde sted.
Mulighed for manuel sikkerhedskopiering
I øjeblikket er der ingen mulighed for manuel sikkerhedskopiering eller gendannelse.
Opbevaringsperiode for sikkerhedskopierede data
Der kræves ingen opbevaringsperiode, da sikkerhedskopier kasseres, umiddelbart efter at Ransomware-beskyttelse har fastslået, at processen ikke er ondsindet. Hvis Ransomware-beskyttelse registrerer, at processen er ondsindet, gendannes filerne i sikkerhedskopien i deres oprindelige mapper.
Begrænsninger for sikkerhedskopiering
Sikkerhedskopiering kræver ledig plads på det lokale systemdrev. Sikkerhedskopieringsprocessen stopper, hvis den ledige plads på diskenheden er under minimumssystemkravene. Den maksimale størrelse på en fil, der opbevares i sikkerhedskopiering, er 30 MB.
Lagersti til sikkerhedskopifil
Sikkerhedskopifiler gemmes i C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Cloud-lagring og valg af brugerdefineret mappe understøttes ikke.
Beskyttelse af filer i sikkerhedskopiering
Selvforsvars- og adgangskontrollisten (ACL) beskytter sikkerhedskopifilerne.
Sletning af filer i sikkerhedskopiering
Sikkerhedskopifiler kan ikke slettes eller fjernes, medmindre de er i sikker tilstand, hvor selvforsvar ikke er aktiv. De slettes, når processen anses for ikke at være ondsindet.
Beskyttelse af filer i sikkerhedskopiering
Sikkerhedskopifiler er beskyttet mod kryptering af ransomware.
Status for sikkerhedskopidata
Filerne i sikkerhedskopimappen er krypterede og i ESET-filtypen. Når de gendannes, gendannes det originale indhold som en kopi med _restored i slutningen af filnavnet.
Tilfælde, hvor sikkerhedskopiering ikke er mulig
Ransomware kan ikke ændre en låst fil (f.eks. låst af en anden proces, operativsystem osv.). Indstillingerne for adgangskontrolliste (ACL) bevares for den oprindelige fil.
Brugerrettigheder for en fil efter gendannelse
Gendannelsen påvirker ikke tidligere definerede brugerrettigheder for den oprindelige fil, men lokale (begrænsede) brugere kan blive udsat for begrænsninger, der er defineret af ACL-listen.
Brug af øjebliksbillede
Windows Shadow Copy Service (VSS) er modtagelig for angreb. Ransomware kan oprette krypterede kopier af filer og slette originaler på én gang bagefter. Dette er en almindelig sletningshandling uden direkte ændringer. Derefter kan den kassere alle øjebliksbilleder af VSS (hvis de blev oprettet), og ingen gendannelse er mulig. Derfor bruger ESET en proprietær copy-on-write-proces, der understøttes af beskyttelse af filsystem i realtid.
Brugermeddelelser om sikkerhedskopier
Hvis Ransomware-beskyttelse bestemmer, at filens adfærd ikke er problematisk, vises der ingen meddelelser til brugeren eller administratoren. Lageret til Ransomware-afhjælpning kan midlertidigt vokse og senere blive slettet.
Sikkerhedskopieringshastighed
Sikkerhedskopieringshastigheden afhænger af harddisktypen og CPU-hastigheden, men bør være hurtig nok til at forblive ubemærket.
Håndtering af krypterede filer
Krypterede filer med ransomware opbevares i den originale mappe til yderligere undersøgelse og kan slettes af brugeren, hvis de ikke længere er nødvendige. I tilfælde af falske positiver (f.eks. filer, der er ændret af brugerdefineret sikkerhedskopieringssoftware), kan du bruge disse filer, da de ikke var krypteret, og filer, der gendannes fra vores sikkerhedskopi, er kun kopier af disse filer.
