Corrección de ransomware
Función de restauración
La función está diseñada para ransomware de día cero. Protección contra ransomware detectará el ransomware, finalizará su proceso y lo pondrá en cuarentena, lo que permite que Corrección de ransomware realice copias de seguridad de los archivos dañados y los recupere. Además, ESET Endpoint Security usa el sistema de reputación ESET LiveGrid®, que ayuda a aumentar la eficiencia general contra el malware. ESET ha diseñado ESET LiveGuard para agregar otra capa de protección y mitigar las nuevas amenazas.
Protección de carpetas y unidades
Solo son compatibles las unidades con formato NTFS. Los medios extraíbles, como memorias USB u otros dispositivos USB, no son compatibles. Se protegen todas las unidades y carpetas locales. El administrador puede definir exclusiones de esta protección. No es posible proteger solo un archivo específico de una carpeta. Puede hacerlo parcialmente definiendo las extensiones de archivo que deben protegerse.
Disponibilidad de funciones en el prelanzamiento de ESET PROTECT 6.0
En la versión de prelanzamiento de ESET PROTECT 6.0, los ajustes son visibles si se agrega la instancia de ConfigEngine correcta a la instancia y ESET Management Agent 12.0 y versiones posteriores están instalados en un ordenador cliente. Esta función es solo administrada y no es compatible con productos de seguridad de equipos no administrados. Después de la activación, los ajustes de Corrección de ransomware aparecerán localmente en Configuración avanzada > Protecciones > HIPS > Protección contra ransomware. Corrección de ransomware debe estar activado con la licencia correspondiente y la política con el ajuste Restaurar archivos después de un ataque de ransomware activado.
Desencadenadores de copia de seguridad
Protección contra ransomware desencadena el componente de copia de seguridad (Corrección de ransomware). Protección del sistema de archivos en tiempo real permite que el componente de copia de seguridad retrase las operaciones de escritura en los tipos de archivo protegidos y cree copias sobre la marcha. La copia de seguridad se iniciará para los procesos supervisados e identificados como sospechosos por Protección contra ransomware. ESET LiveGrid® debe estar activado para que Protección contra ransomware funcione correctamente. Protección del sistema de archivos en tiempo real puede garantizar que el componente de copia de seguridad pueda crear siempre una copia antes de que el ransomware pueda realizar la operación de escritura.
Opción de copia de seguridad manual
Actualmente, no se ofrece opción de copia de seguridad manual o restauración.
Periodo de retención de los datos de la copia de seguridad
No es necesario ningún periodo de retención, pues las copias de seguridad se descartan inmediatamente después de que Protección contra ransomware determine que el proceso no es malicioso. Si Protección contra ransomware detecta que el proceso es malicioso, los archivos de la copia de seguridad se restauran en sus carpetas originales.
Limitaciones de la copia de seguridad
La copia de seguridad necesita espacio libre en la unidad de sistema local. El proceso de copia de seguridad se detendrá si el espacio libre del volumen no cumple los requisitos mínimos del sistema. El tamaño máximo de un archivo en la copia de seguridad es 30 MB.
Ruta de almacenamiento de los archivos de la copia de seguridad
Los archivos de la copia de seguridad se almacenan en C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. La selección de almacenamiento en la nube y carpetas personalizadas no es compatible.
Protección de los archivos de la copia de seguridad
Autodefensa y Lista de control de acceso (ACL) protegen los archivos de la copia de seguridad.
Eliminación de los archivos de la copia de seguridad
Los archivos de la copia de seguridad no se pueden borrar ni eliminar a menos que se active el modo seguro, en el que Autodefensa no está activo. Se eliminan después de que el proceso se considere no malicioso.
Protección de los archivos de la copia de seguridad
Los archivos de la copia de seguridad están protegidos contra cifrado por ransomware.
Estado de los datos de la copia de seguridad
Los archivos de la carpeta de la copia de seguridad están cifrados y en el tipo de archivo de ESET. Cuando se recuperan, el contenido original se restaura como copia con _restored al final del nombre de archivo.
Casos en los que la copia de seguridad no es posible
El ransomware no puede modificar un archivo bloqueado (por ejemplo, bloqueado por otro proceso, sistema operativo, etc.). Los ajustes de Lista de control de acceso (ACL) se mantienen en el archivo original.
Privilegios de usuario de un archivo después de la restauración
La restauración no afecta a los privilegios de usuario definidos previamente para el archivo original, pero a los usuarios (restringidos) locales se les pueden aplicar restricciones definidas por ACL.
Uso de Shadow Copy
Volume Shadow Copy Service (VSS) de Windows puede sufrir ataques. El ransomware puede crear copias cifradas de archivos y eliminar los originales inmediatamente después. Es una operación de eliminación normal sin modificación directa. A continuación, puede descartar todas las instantáneas de VSS (si se han creado), con lo que no es posible ninguna recuperación. Por lo tanto, ESET usa un proceso de copy-on-write propio respaldado por Protección del sistema de archivos en tiempo real.
Notificaciones de usuario para copias de seguridad
Si Protección contra ransomware determina que el comportamiento del archivo no es problemático, no se muestra ninguna notificación al usuario ni al administrador. El almacenamiento de Corrección de ransomware puede crecer temporalmente y eliminarse más tarde.
Velocidad de la copia de seguridad
La velocidad de la copia de seguridad depende del tipo de disco duro y de la velocidad de la CPU, pero debe ser suficiente para pasar desapercibida.
Gestión de los archivos cifrados
Los archivos cifrados por ransomware se guardan en la carpeta original para continuar con la investigación y el usuario puede eliminarlos si ya no son necesarios. En caso de falsos positivos (por ejemplo, archivos modificados por software de copia de seguridad personalizado), puede usar estos archivos como si no estuvieran cifrados, y los archivos recuperados de nuestra copia de seguridad son copias de esos archivos solo.
