Kiristysohjelmakorjaus
Toiminnan palauttaminen
Ominaisuus on suunniteltu nollapäivähaavoittuvuuteen liittyville kiristysohjelmille. Kiristysohjelmasuojaus havaitsee kiristysohjelman, lopettaa sen prosessin ja asettaa sen karanteeniin, jolloin Ransomware Remediation voi varmuuskopioida ja palauttaa vahingoittuneet tiedostot. Tämän lisäksi ESET Endpoint Security käyttää ESET LiveGrid® -mainejärjestelmää, joka auttaa parantamaan yleistä tehokkuutta haittaohjelmia vastaan. ESET on kehittänyt ESET LiveGuard -palvelun, jonka tarkoituksena on lisätä uusi suojaustaso ja lieventää uusia ilmeneviä uhkia.
Kansioiden ja asemien suojaus
Vain NTFS-muodossa olevia asemia tuetaan. Siirrettäviä tallennusvälineitä, kuten flash-asemia tai muita USB-laitteita, ei tueta. Kaikki paikalliset asemat ja kansiot ovat suojattuja. Järjestelmänvalvoja voi määrittää tätä suojausta koskevat poikkeukset. Kansion sisäistä yhtä tiettyä tiedostoa ei ole mahdollista suojata. Tätä voidaan hallita osittain määrittelemällä tiedostotunnisteet, jotka on suojattava.
Ominaisuuksien saatavuus ESET PROTECT 6.0:n ennakkoversiossa
Ennakkoversiossa ESET PROTECT 6.0 asetukset näkyvät, jos ohjelman versioon lisätään oikea ConfigEngine ja asiakastietokoneeseen on asennettu ESET Management Agent 12.0 ja uudempi versio. Tämä ominaisuus on vain hallittavissa, eikä sitä tueta hallitsemattomien päätelaitteiden tietoturvatuotteissa. Aktivoinnin jälkeen Ransomware Remediation -asetukset näkyvät paikallisessa ohjelmassa seuraavasti Lisäasetukset > Suojaukset > HIPS > Kiristysohjelmasuojaus. Ransomware Remediation on aktivoitava sopivalla lisenssillä ja käytännöllä, jossa on käytössä Palauta tiedostot kiristysohjelmahyökkäyksen jälkeen -asetus.
Varmuuskopiointi käynnistyjät
Kiristysohjelmasuojaus laukaisee varmuuskopiointikomponentin (Ransomware Remediation). Reaaliaikainen tiedostojärjestelmän suojaus sallii varmuuskopiointikomponentin viivästyttää kirjoitustoimintoja suojattuihin tiedostotyyppeihin ja luoda kopioita nopeasti. Varmuuskopiointi käynnistyy prosesseille, joita kiristysohjelmasuojaus valvoo ja jotka se tunnistaa epäilyttäviksi. ESET LiveGrid®in on oltava käytössä, jotta kiristysohjelmasuojaus toimii oikein. Reaaliaikainen tiedostojärjestelmän suojaus voi taata, että varmuuskopiointikomponentti voi aina luoda kopion ennen kuin kiristysohjelman pyydetty kirjoitustoiminto voi tapahtua.
Manuaalinen varmuuskopiointivaihtoehto
Tällä hetkellä manuaalinen varmuuskopiointi tai palautus ei ole mahdollista.
Varmuuskopioitujen tietojen säilytysaika
Säilytysaikaa ei tarvita, koska varmuuskopiot hylätään heti, kun kiristysohjelmasuojaus on todennut, että prosessi ei ole haitallinen. Jos kiristysohjelmasuojaus havaitsee prosessin haitalliseksi, varmuuskopion tiedostot palautetaan alkuperäisiin kansioihinsa.
Varmuuskopioinnin rajoitukset
Varmuuskopiointi vaatii vapaata tilaa paikallisessa järjestelmäasemassa. Varmuuskopiointi pysähtyy, jos vapaa tila on järjestelmän vähimmäisvaatimusten alapuolella. Varmuuskopioitavan tiedoston enimmäiskoko on 30 Mt.
Varmuuskopiotiedoston tallennuspolku
Varmuuskopiotiedostot tallennetaan kohteeseen C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Pilvitallennustilaa ja mukautettua kansion valintaa ei tueta.
Varmuuskopioitujen tiedostojen suojaus
Itsepuolustustoiminto ja Access Control List (ACL) suojaavat varmuuskopiotiedostoja.
Tiedostojen poistaminen varmuuskopiosta
Varmuuskopiotiedostoja ei voi poistaa, ellei olla vikasietotilassa, jossa itsepuolustustoiminto ei ole aktiivinen. Ne poistetaan sen jälkeen, kun prosessia ei enää pidetä haitallisena.
Tiedostojen suojaus varmuuskopiossa
Varmuuskopiotiedostot on suojattu salaukselta kiristysohjelmilla.
Varmuuskopiointitietojen tila
Varmuuskopiointikansion tiedostot ovat salattuja ja ESET-tiedostotyyppisiä. Palautusprosessissa alkuperäinen tiedosto palautetaan kopiona, jonka tiedostonimen lopputunnisteena on _restored.
Tapaukset, joissa varmuuskopiointi ei ole mahdollista
Kiristysohjelmat eivät voi muokata lukittua tiedostoa (esimerkiksi toisen prosessin tai käyttöjärjestelmän lukitsema jne.). Access Control List (ACL) -luettelon asetukset säilytetään alkuperäisessä tiedostossa.
Tiedoston käyttöoikeudet palautuksen jälkeen
Palautus ei vaikuta aiemmin määritettyihin alkuperäisen tiedoston käyttöoikeuksiin, mutta paikalliset (rajoitetut) käyttäjät voivat kohdata ACL:n määrittämiä rajoituksia.
Tilannevedoksen käyttö
Windows Shadow Copy Service (VSS) on altis hyökkäyksille. Kiristysohjelmat voivat luoda salattuja kopioita tiedostoista ja poistaa alkuperäiset heti sen jälkeen. Tämä on säännöllinen poistotoiminto, joka ei aiheuta suoria muutoksia. Tämän jälkeen se voi hylätä kaikki VSS-vedokset (jos ne on luotu), eikä palautus ole mahdollista. Siksi ESET käyttää omaa kopiointiprosessia, jota tukee reaaliaikainen tiedostojärjestelmän suojaus.
Varmuuskopioita koskevat ilmoitukset käyttäjälle
Jos kiristysohjelmasuojaus määrittää, että tiedoston toiminta ei ole ongelmallista, käyttäjälle tai järjestelmänvalvojalle ei näytetä ilmoituksia. Ransomware Remediation -tallennustila voi tilapäisesti kasvaa, ja se voidaan myöhemmin poistaa.
Varmuuskopioinnin nopeus
Varmuuskopiointinopeus riippuu kiintolevyn tyypistä ja suorittimen nopeudesta, mutta sen pitäisi olla riittävän nopea ollakseen huomaamaton.
Salattujen tiedostojen käsittely
Kiristysohjelmien salatut tiedostot säilytetään alkuperäisessä kansiossa lisätutkimuksia varten, ja käyttäjä voi poistaa ne, jos niitä ei enää tarvita. Jos kyseessä on väärät hälytykset (esim. mukautetun varmuuskopiointiohjelmiston muokkaamat tiedostot), voit käyttää näitä tiedostoja, koska niitä ei ole salattu, ja varmuuskopiosta palautetut tiedostot ovat vain kopioita näistä tiedostoista.
