Corrección de ransomware
Restaurar la funcionalidad
La característica se diseñó para ransomware de día cero. La protección contra ransomware detectará el ransomware, finalizará su proceso y lo pondrá en cuarentena, lo que permitirá que la corrección de ransomware realice copias de seguridad y recuperar archivos dañados. Además, ESET Endpoint Security usa el sistema de reputación de ESET LiveGrid® que ayuda a mejorar la eficiencia general contra el malware. ESET diseñó ESET LiveGuard para agregar otra capa de protección y mitigar nuevas amenazas dentro de las wildlists.
Protección de carpetas y unidades
Solo se admiten unidades con formato NTFS. No se admiten medios extraíbles, como unidades flash u otros dispositivos USB. Todas las unidades y carpetas locales están protegidas. El administrador puede definir exclusiones de esta protección. No es posible proteger solo un archivo específico dentro de una carpeta. Esto se puede gestionar parcialmente si se definen las extensiones de archivo que deben protegerse.
Disponibilidad de características en la versión preliminar 6.0 de ESET PROTECT
En la versión preliminar 6.0 de ESET PROTECT, la configuración se visualiza si se agrega el ConfigEngine correcto a la instancia y si se instala el Agente 12.0 y versiones posteriores de ESET Management en un equipo cliente. Esta característica solo se administra y no es compatible con productos de seguridad de puntos de conexión no administrados. Después de la activación, la configuración de la corrección de ransomware aparecerá en la Configuración avanzada local > Protecciones > HIPS > Protección de ransomware. La corrección de ransomware debe activarse con la licencia adecuada, y la política con la configuración de restauración de archivos habilitada después de un ataque de ransomware.
Activadores de copia de seguridad
La protección contra ransomware activa el componente de copia de seguridad (corrección de ransomware). La protección del sistema de archivos en tiempo real permite que el componente de copia de seguridad retrase las operaciones de escritura en tipos de archivos protegidos y cree copias sobre la marcha. La copia de seguridad se iniciará para los procesos que monitorea e identifica como sospechosos la protección contra ransomware. ESET LiveGrid® debe estar habilitado para que la protección contra ransomware funcione correctamente. La protección del sistema de archivos en tiempo real puede garantizar que el componente de copia de seguridad siempre cree una copia antes de que se produzca la operación de escritura solicitada por el ransomware.
Opción de copia de seguridad manual
Actualmente, la opción de copia de seguridad o restauración manual no es posible.
Período de retención de los datos respaldados
No se necesita ningún período de retención, ya que las copias de seguridad se descartan inmediatamente después de que la protección contra ransomware determina que el proceso no es malicioso. Si la protección contra ransomware detecta que el proceso es malicioso, los archivos de la copia de seguridad se restauran en sus carpetas originales.
Limitaciones de la copia de seguridad
La copia de seguridad requiere espacio libre en la unidad del sistema local. El proceso de copia de seguridad se detendrá si el espacio libre en cuanto a volumen está por debajo de los requisitos mínimos del sistema. El tamaño máximo de un archivo guardado en la copia de seguridad es de 30 MB.
Ruta de almacenamiento de archivos de copia de seguridad
Los archivos de copia de seguridad se almacenan en C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. No se admite el almacenamiento en la nube ni la selección de carpetas personalizadas.
Protección de archivos en copia de seguridad
La lista de control de acceso (ACL) y de autodefensa protege los archivos de copia de seguridad.
Eliminación de archivos en la copia de seguridad
Los archivos de copia de seguridad no se pueden borrar ni quitar, a menos que estén en modo seguro, en el que la autodefensa no está activa. Se quitan después de que se considera que el proceso no es malicioso.
Protección de archivos en copia de seguridad
Los archivos de copia de seguridad están protegidos contra el cifrado por ransomware.
Estado de los datos de copia de seguridad
Los archivos de la carpeta de copia de seguridad están cifrados y en tipo de archivo ESET. Cuando se recupera, el contenido original se restaura como una copia en la que figura _restored al final del nombre del archivo.
Casos en los que no es posible realizar la copia de seguridad
El ransomware no puede modificar un archivo bloqueado (por ejemplo, bloqueado por otro proceso, sistema operativo, etc.). La configuración de la lista de control de acceso (ACL) se mantiene en el archivo original.
Privilegios de usuario de un archivo después de la restauración
La restauración no afecta a los privilegios de usuario previamente definidos en el archivo original, pero los usuarios locales (restringidos) pueden enfrentarse a restricciones definidas por la ACL.
Uso de copias ocultas
El Servicio de copias ocultas de Windows (VSS) es susceptible a los ataques. El ransomware puede crear copias cifradas de archivos y, luego, quitar los originales de inmediato. Se trata de una operación de eliminación normal sin modificación directa. A continuación, puede descartar todas las instantáneas de VSS (si se crearon) y no es posible acceder a ninguna recuperación. Por lo tanto, ESET usa un proceso propio de copia en escritura respaldado por la protección del sistema de archivos en tiempo real.
Notificaciones de usuario para copias de seguridad
Si la protección contra ransomware determina que el comportamiento del archivo no es un problema, no se muestra ninguna notificación al usuario o al administrador. El almacenamiento de la corrección de ransomware puede aumentar temporalmente y, luego, quitarse.
Velocidad de copia de seguridad
La velocidad de la copia de seguridad depende del tipo de disco duro y de la velocidad de la CPU, pero debe ser lo suficientemente rápida como para pasar desapercibida.
Manejo de archivos cifrados
Los archivos cifrados por ransomware se guardan en la carpeta original para realizar una mayor investigación, y el usuario puede eliminarlos si ya no los necesita. En el caso de falsos positivos (por ejemplo, archivos modificados por software de copia de seguridad personalizado), puede usar estos archivos, ya que no estaban cifrados, y los archivos recuperados de nuestra copia de seguridad resultan solo copias de esos archivos.
