Correzione ransomware
Ripristina funzionalità
La funzione è progettata per il ransomware zero-day. La funzione Protezione ransomware rileverà il ransomware, terminerà il suo processo e lo metterà in quarantena, consentendo alla funzione Correzione ransomware di eseguire il backup e il recupero dei file danneggiati. Inoltre, ESET Endpoint Security utilizza il sistema di reputazione ESET LiveGrid® che aiuta a migliorare l’efficienza complessiva contro gli attacchi malware. ESET ha progettato ESET LiveGuard per aggiungere un ulteriore livello di protezione e mitigare le nuove minacce disponibili.
Protezione di cartelle e unità
Sono supportate solo le unità con formattazione NTFS. Non sono supportati supporti rimovibili, come unità flash o altri dispositivi USB. Tutte le unità e le cartelle locali sono protette. L’amministratore può definire le esclusioni da questa protezione. Non è possibile proteggere solo un file specifico all’interno di una cartella. Tale condizione può essere parzialmente gestita attraverso la definizione delle estensioni dei file che devono essere protette.
Disponibilità della funzione nella versione pre-release di ESET PROTECT 6.0
Nella versione pre-release di ESET PROTECT 6.0 le impostazioni sono visibili se all’istanza viene aggiunto il file ConfigEngine corretto e se ESET Management Agent 12.0 e versioni successive sono installati su un computer client. Questa funzione è solo gestita e non è supportata per i prodotti di protezione degli endpoint non gestiti. Dopo l’attivazione, le impostazioni della funzione Correzione ransomware compariranno nella finestra locale Configurazione avanzata > Protezioni > HIPS > Protezione ransomware. La funzione Correzione ransomware deve essere attivata con una licenza adeguata e con il criterio con l’impostazione Ripristina file dopo un attacco ransomware abilitata.
Attivazioni del componente di backup
La funzione Protezione ransomware attiva il componente di backup (Correzione ransomware). La funzione Protezione file system in tempo reale consente al componente di backup di ritardare le operazioni di scrittura sui tipi di file protetti e di creare copie in tempo reale. Il backup verrà avviato per i processi monitorati e identificati come sospetti dalla funzione Protezione ransomware. Il sistema ESET LiveGrid® deve essere abilitato per il corretto funzionamento dell’opzione Protezione ransomware. La funzione Protezione file system in tempo reale può garantire che il componente di backup possa sempre creare una copia prima che possa verificarsi l’operazione di scrittura richiesta dal ransomware.
Opzione di backup manuale
Attualmente, l’opzione di backup o ripristino manuale non può essere eseguita.
Periodo di conservazione per i dati di cui è stato eseguito il backup
Non è necessario alcun periodo di conservazione poiché i backup vengono eliminati immediatamente dopo che la funzione Protezione ransomware stabilisce che il processo non è dannoso. Se la funzione Protezione ransomware rileva che il processo è dannoso, i file nel backup vengono ripristinati nelle cartelle originali.
Limitazioni del backup
Il backup richiede spazio libero nell’unità di sistema locale. Il processo di backup si interromperà se lo spazio libero sul volume è inferiore ai requisiti minimi di sistema. La dimensione massima di un file conservato nel backup è 30 MB.
Percorso di archiviazione dei file di backup
I file di backup vengono archiviati in C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. L’archiviazione cloud e la selezione di cartelle personalizzate non sono supportate.
Protezione dei file nel backup
L’elenco autoprotezione e controllo degli accessi (Access Control List, ACL) protegge i file di backup.
Rimozione dei file nel backup
I file di backup non possono essere cancellati o rimossi se non in modalità sicura, ovvero quando la funzione Autoprotezione non è attiva. Vengono rimossi dopo che il processo è considerato non dannoso.
Protezione dei file nel backup
I file di backup sono protetti dalla crittografia eseguita da ransomware.
Stato dei dati di backup
I file nella cartella di backup sono crittografati e sono di tipo ESET. Una volta recuperato, il contenuto originale viene ripristinato come copia con _restored alla fine del nome del file.
Casi in cui il backup non può essere eseguito
Il ransomware non è in grado di modificare un file bloccato (ad esempio, da un altro processo, sistema operativo, ecc.). Le impostazioni dell’elenco di controllo di accesso (Access Control List, ACL) vengono mantenute per il file originale.
Privilegi utente di un file dopo il ripristino
Il ripristino non influisce sui privilegi utente definiti in precedenza per il file originale, ma gli utenti locali (con restrizioni) potrebbero dover affrontare le restrizioni definite dall’ACL.
Utilizzo della copia shadow
Il servizio copia shadow di Windows (VSS) è suscettibile agli attacchi. Il ransomware può creare copie crittografate dei file e rimuovere immediatamente gli originali in seguito. Si tratta di un’operazione di rimozione regolare senza modifiche dirette. Di conseguenza, può eliminare tutte le istantanee di VSS eventualmente create e non è possibile eseguire alcun ripristino. Pertanto, ESET utilizza un processo proprietario di copia in scrittura supportato dalla funzione Protezione file system in tempo reale.
Notifiche utente per i backup
Se la funzione Protezione ransomware stabilisce che il comportamento del file non è problematico, l’utente o l’amministratore non visualizza alcuna notifica. Lo spazio di archiviazione della funzione Correzione ransomware potrebbe aumentare temporaneamente ed essere successivamente rimosso.
Velocità di backup
La velocità di backup dipende dal tipo di disco rigido e dalla velocità della CPU, ma dovrebbe essere abbastanza elevata da passare inosservata.
Gestione dei file crittografati
I file crittografati dal ransomware vengono conservati nella cartella originale per ulteriori indagini e possono essere rimossi dall’utente se non più necessari. In caso di falsi positivi (ad es. file modificati da software di backup personalizzati), è possibile utilizzare questi file in quanto non crittografati e i file recuperati dal backup eseguito da ESET sono copie solo di tali file.
