Correction des ransomwares
Fonctionnalité de restauration
Cette fonctionnalité est conçue pour les ransomwares de type « zero-day ». Le Bouclier anti-ransomwares détectera le ransomware, mettra fin à son processus et le mettra en quarantaine, ce qui permettra à la Correction des ransomwares de sauvegarder et de récupérer les fichiers endommagés. De plus, ESET Endpoint Security utilise le système de réputation ESET LiveGrid® qui permet d'améliorer l'efficacité globale contre les logiciels malveillants. ESET a conçu ESET LiveGuard pour ajouter une autre couche de protection et limiter les nouvelles menaces.
Protection des dossiers et des disques
Seuls les disques formatés NTFS sont pris en charge. Aucun support amovible, tel qu'une clé USB ou un autre périphérique USB, n'est pris en charge. Tous les disques et dossiers locaux sont protégés. L'administrateur peut définir des exclusions à cette protection. Il n'est pas possible de protéger uniquement un fichier spécifique à l'intérieur d'un dossier. Ce problème peut être partiellement résolu en définissant les extensions de fichiers qui doivent être protégées.
Disponibilité des fonctionnalités dans la version préliminaire ESET PROTECT 6.0
Dans la version préliminaire d'ESET PROTECT 6.0, les paramètres sont visibles si le moteur ConfigEngine approprié est ajouté à l'instance et si ESET Management Agent 12.0 (et les versions ultérieures) est installé sur un ordinateur client. Cette fonctionnalité est gérée uniquement et n'est pas prise en charge par les produits de sécurité des endpoints non gérés. Après l'activation, les paramètres de Correction des ransomwares apparaîtront dans les Configurations avancées locales > Protections > HIPS > Bouclier anti-ransomwares. La Correction des ransomwares doit être activée avec une licence adaptée. La politique doit l'être avec le paramètre Restaurer des fichiers après une attaque de ransomware activé.
Déclencheurs de sauvegarde
Le Bouclier anti-ransomwares déclenche le composant de sauvegarde (Correction des ransomwares). La protection en temps réel du système de fichiers permet au composant de sauvegarde de retarder les opérations d'écriture sur les types de fichiers protégés et de créer des copies à la volée. La sauvegarde démarre pour les processus surveillés et identifiés comme étant suspects par le Bouclier anti-ransomwares. ESET LiveGrid® doit être activé pour que le Bouclier anti-ransomwares fonctionne correctement. La protection en temps réel du système de fichiers peut garantir que le composant de sauvegarde peut toujours créer une copie avant que l'opération d'écriture demandée par le ransomware ne se produise.
Option de sauvegarde manuelle
Actuellement, l'option de sauvegarde ou de restauration manuelle n'est pas possible.
Durée de conservation des données sauvegardées
Aucune durée de conservation n'est nécessaire, car les sauvegardes sont supprimées dès que le Bouclier anti-ransomwares détermine que le processus n'est pas malveillant. Si le Bouclier anti-ransomwares détecte le processus comme étant malveillant, les fichiers de la sauvegarde sont restaurés dans leurs dossiers d'origine.
Limites des sauvegardes
Une sauvegarde nécessite de l'espace disponible sur le disque du système local. Le processus de sauvegarde s'arrêtera si l'espace disponible sur le volume est inférieur à la configuration minimale requise. La taille maximale d'un fichier conservé dans la sauvegarde est de 30 Mo.
Chemin d'accès aux fichiers de sauvegarde
Les fichiers de sauvegarde sont stockés dans C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Le stockage dans le cloud et la sélection de dossiers personnalisés ne sont pas pris en charge.
Protection des fichiers dans la sauvegarde
L'auto-défense et la liste de contrôle d'accès (ACL) protègent les fichiers de sauvegarde.
Suppression des fichiers dans la sauvegarde
Les fichiers de sauvegarde ne peuvent pas être effacés ni supprimés, sauf en mode sans échec, où l'auto-défense n'est pas active. Ils sont supprimés une fois que le processus est considéré comme n'étant pas malveillant.
Protection des fichiers dans la sauvegarde
Les fichiers de sauvegarde sont protégés contre le chiffrement par des ransomwares.
État des données de sauvegarde
Les fichiers du dossier de sauvegarde sont chiffrés et de type ESET. Une fois récupéré, le contenu d'origine est restauré sous forme de copie avec le terme _restored à la fin du nom de fichier.
Cas où la sauvegarde n'est pas possible
Un ransomware ne peut pas modifier un fichier verrouillé (par exemple, verrouillé par un autre processus, un système d'exploitation, etc.). Les paramètres de la liste de contrôle d'accès (ACL) sont conservés pour le fichier d'origine.
Privilèges d'utilisateur d'un fichier après restauration
La restauration n'a pas d'impact sur les privilèges d'utilisateur précédemment définis pour le fichier d'origine, mais les utilisateurs locaux (restreints) peuvent être soumis à des restrictions définies par la liste de contrôle d'accès.
Utilisation du cliché instantané
Le service VSS (Windows Shadow Copy Service) est susceptible de faire l'objet d'une attaque. Un ransomware peut créer des copies chiffrées des fichiers et supprimer immédiatement les originaux par la suite. Il s'agit d'une opération de suppression normale sans modification directe. Il peut alors supprimer tous les instantanés de VSS (s'ils ont été créés), et aucune récupération n'est possible. C'est pourquoi l'ESET utilise un processus propriétaire de copie sur écriture soutenu par la protection en temps réel du système de fichiers.
Notifications aux utilisateurs pour les sauvegardes
Si le Bouclier anti-ransomwares détermine que le comportement du fichier n'est pas problématique, aucune notification n'est envoyée à l'utilisateur ou à l'administrateur. Le stockage de la Correction des ransomwares peut augmenter temporairement et être supprimé par la suite.
Vitesse de sauvegarde
La vitesse de sauvegarde dépend du type de disque dur et de la vitesse du processeur, mais elle doit être suffisamment rapide pour passer inaperçue.
Gestion des fichiers chiffrés
Les fichiers chiffrés par un ransomware sont conservés dans le dossier d'origine en vue d'une enquête ultérieure et peuvent être supprimés par l'utilisateur s'il n'en a plus besoin. En cas de faux positifs (par exemple, des fichiers modifiés par un logiciel de sauvegarde personnalisé), vous pouvez utiliser ces fichiers, car ils n'ont pas été chiffrés et les fichiers récupérés à partir de notre sauvegarde ne sont que des copies de ces fichiers.
