Zsarolóprogram-eltávolítás
A visszaállítási funkció
Nulladik napi zsarolóprogramokhoz terveztük a funkciót. A Zsarolóprogram elleni védelem felismeri a zsarolóprogramot, leállítja a folyamatot, és karanténba helyezi, ami lehetővé teszi a Zsarolóprogram-eltávolítás funkció számára a sérült fájlok biztonsági mentését és visszaállítását. Ezenkívül az ESET Endpoint Security az ESET LiveGrid® megbízhatósági rendszert használja, amely fokozza a kártevők elleni általános hatékonyságot. Az ESET úgy tervezte meg az ESET LiveGuard szolgáltatást, hogy egy újabb védelmi réteget biztosítson, és elhárítsa az új kártevőket.
Mappa- és meghajtóvédelem
Csak NTFS formátumú meghajtók támogatottak. A cserélhető adathordozók, például a flashmeghajtók vagy más USB-eszközök nem támogatottak. Minden helyi meghajtó és mappa védett. A rendszergazda meghatározhatja, hogy mi képezzen kivételt a védelem alól. Nem lehet csak egy adott fájlt védeni egy mappában. Ez részben kezelhető a védeni kívánt fájlkiterjesztések meghatározásával.
A funkció elérhetősége az ESET PROTECT 6.0 tesztelési verziójában
Az ESET PROTECT 6.0 tesztelési verziójában a beállítások akkor láthatók, ha a megfelelő ConfigEngine-t hozzáadták a példányhoz, és a kliensszámítógépre telepítve van az ESET Management Agent 12.0-s vagy újabb verziója. Ez a funkció csak felügyelt és nem támogatott a nem felügyelt végponti biztonsági termékek esetében. Aktiválás után a Zsarolóprogram-eltávolítás beállításai a helyi További beállítások > Védelmek > HIPS > Zsarolóprogram elleni védelem lapon jelennek meg. A Zsarolóprogram-eltávolítás megfelelő licenccel és engedélyezett Fájlok helyreállítása zsarolóprogramos támadás után házirend-beállítással aktiválható.
Biztonsági mentési triggerek
A Zsarolóprogram elleni védelem aktiválja a biztonsági mentési komponenst (Zsarolóprogram-eltávolítás). A Valós idejű fájlrendszervédelem lehetővé teszi a biztonsági mentési komponens számára, hogy késleltesse a védett fájltípusokra történő írási műveleteket, és menet közben másolatokat készítsen. A biztonsági mentés a Zsarolóprogram elleni védelem által figyelt és gyanúsnak azonosított folyamatoknál indul el. Az ESET LiveGrid® szolgáltatást engedélyezni kell a Zsarolóprogram elleni védelem megfelelő működéséhez. A Valós idejű fájlrendszervédelem garantálni tudja, hogy a biztonsági mentési komponens mindig létre tud hozni egy másolatot, mielőtt a zsarolóprogram által kért írási művelet megtörténik.
Manuális biztonsági mentési opció
Jelenleg a manuális biztonsági mentés opció vagy visszaállítás nem érhető el.
A biztonsági másolat adatainak megőrzési ideje
Nincs szükség megőrzési időszakra, mivel a biztonsági másolatok azonnal törlődnek, amint a Zsarolóprogram elleni védelem megállapítja, hogy a folyamat nem rosszindulatú. Ha a Zsarolóprogram elleni védelem rosszindulatúnak észleli a folyamatot, a biztonsági másolatban szereplő fájlok visszakerülnek az eredeti mappákba.
A biztonsági mentés korlátjai
A biztonsági mentéshez szabad terület szükséges a helyi rendszermeghajtón. A biztonsági mentési folyamat leáll, ha a köteten lévő szabad terület nem éri el a minimális rendszerkövetelményeket. A biztonsági másolatban tárolt fájlok maximális mérete 30 MB.
A biztonsági másolat fájljának tárolási útvonala
A biztonsági másolat fájljait a C:\ProgramData\ESET\ESET Security\RR\backup\{GUID} mappa tárolja. A felhőalapú tárolás és az egyéni mappák kiválasztása nem támogatott.
A biztonsági másolatban lévő fájlok védelme
Az Önvédelem és Hozzáférés-ellenőrzési lista (ACL) védi a biztonsági másolatban lévő fájlokat.
Fájlok törlése a biztonsági másolatban
A biztonsági másolatban lévő fájlok csak csökkentett módban törölhetők, ahol az Önvédelem nem aktív. Akkor törlődnek, amint a folyamatról kiderül, hogy nem rosszindulatú.
A biztonsági másolatban lévő fájlok védelme
A biztonsági másolatban lévő fájlok védettek a zsarolóprogrammal szemben.
A biztonsági másolatban lévő adatok állapota
A biztonsági másolatok mappájában található fájlok titkosítva vannak, és ESET fájltípusúak. Visszaállításukkor az eredeti tartalom másolatként kerül vissza, és a _restored utótag fog szerepelni a fájlnév végén.
Esetek, amikor nincs lehetőség biztonsági mentésre
A zsarolóprogramok nem tudják módosítani a zárolt fájlokat (például egy másik folyamat, operációs rendszer stb. által zároltakat). A Hozzáférés-vezérlési lista (ACL) beállításai megmaradnak az eredeti fájlnál.
A fájlok felhasználói jogosultsága a visszaállítás után
A visszaállítás nem érinti az eredeti fájl korábban meghatározott felhasználói jogosultságait, de a helyi (korlátozott) felhasználók szembesülhetnek az ACL által meghatározott korlátozásokkal.
Árnyékmásolat használata
A Windows Shadow Copy Service (VSS) fogékony a támadásokra. A zsarolóprogramok titkosított másolatokat tudnak létrehozni a fájlokról, utána pedig egyszerre törölni tudják az eredetiket. Ez egy rendszeres törlési művelet közvetlen módosítás nélkül. Ezután törölni tudják a VSS összes pillanatképét (ha létrehozták ilyet), és nincs mód visszaállításra. Ezért az ESET egy szabadalmaztatott másolási-írási folyamatot alkalmaz, amelyet a Valós idejű fájlrendszervédelem támogat.
Felhasználói értesítések a biztonsági mentésekről
Ha a Zsarolóprogram elleni védelem megállapítja, hogy a fájl viselkedése nem problémás, akkor nem jelennek meg értesítések a felhasználónak vagy a rendszergazdának. A Zsarolóprogram-eltávolítás tárhelye átmenetileg növekedhet, majd később törlődhet.
A biztonsági mentés sebessége
A biztonsági mentés sebessége a merevlemez típusától és a processzor sebességétől függ, de elég gyors ahhoz, hogy észrevétlen maradjon.
A titkosított fájlok kezelése
A zsarolóprogramok által titkosított fájlokat az eredeti mappa tárolja további vizsgálat céljából, és a felhasználó törölheti őket, ha már nincs szükség rájuk. Téves riasztások esetén (pl. egyedi biztonsági mentési szoftverrel módosított fájlok) használhatja ezeket a fájlokat, mivel nem lettek titkosítva, és a biztonsági másolatunkból visszaállított fájlok ezeknek a fájloknak csupán a másolatai.
