Naprawa szkód wyrządzonych przez oprogramowanie wymuszające okup
Przywróć funkcjonalność
Ta funkcja została zaprojektowana z myślą o oprogramowaniu wymuszającym okup typu zero-day. Ochrona przed oprogramowaniem wymuszającym okup wykryje oprogramowanie wymuszające okup, zakończy jego proces i podda je kwarantannie, umożliwiając funkcji Naprawa szkód wyrządzonych przez oprogramowanie wymuszające okup wykonanie kopii zapasowej i odzyskanie uszkodzonych plików. Dodatkowo ESET Endpoint Security wykorzystuje system reputacji ESET LiveGrid®, który pomaga poprawić ogólną skuteczność działań przeciwko złośliwemu oprogramowaniu. Firma ESET zaprojektowała ESET LiveGuard, aby dodać kolejną warstwę ochrony i złagodzić nowe zagrożenia w środowisku naturalnym.
Ochrona folderów i dysków
Obsługiwane są tylko dyski sformatowane w systemie plików NTFS. Nie są obsługiwane żadne nośniki wymienne, takie jak dyski flash lub inne urządzenia USB. Wszystkie dyski lokalne i foldery są chronione. Administrator może zdefiniować wyłączenia z tej ochrony. Nie jest możliwe zabezpieczenie tylko określonego pliku w folderze. Można sobie z tym częściowo poradzić, definiując rozszerzenia plików, które muszą być chronione.
Dostępność funkcji w programie ESET PROTECT w wersji wstępnej 6.0
W wersji wstępnej programu ESET PROTECT 6.0 ustawienia są widoczne, jeśli do wystąpienia zostanie dodane odpowiednie narzędzie ConfigEngine, a na komputerze klienckim zostanie zainstalowany agent ESET Management 12.0 i nowszy. Ta funkcja jest przeznaczona tylko do zarządzania i nie jest obsługiwana w przypadku niezarządzanych produktów zabezpieczających punkty końcowe. Po aktywacji ustawienia Naprawy w przypadku oprogramowania wymuszającego okup pojawią się w lokalnym obszarze Konfiguracja zaawansowana > Zabezpieczenia > HIPS > Ochrona przed oprogramowaniem wymuszającym okup. Funkcja Naprawa szkód wyrządzonych przez oprogramowanie wymuszające okup musi być aktywowana za pomocą odpowiedniej licencji, a polityka za pomocą włączonego ustawienia Przywróć pliki po ataku przez oprogramowanie wymuszające okup.
Wyzwalacze kopii zapasowych
Funkcja Ochrona przed oprogramowaniem wymuszającym okup uruchamia komponent kopii zapasowej (Naprawa szkód wyrządzonych przez oprogramowanie wymuszające okup). Ochrona systemu plików w czasie rzeczywistym umożliwia komponentowi kopii zapasowej opóźnianie operacji zapisu do chronionych typów plików i tworzenie kopii w locie. Rozpocznie się tworzenie kopii zapasowej dla procesów monitorowanych i zidentyfikowanych jako podejrzane przez funkcję Ochrona przed oprogramowaniem wymuszającym okup. Program ESET LiveGrid® musi być włączony, aby funkcja Ochrona przed oprogramowaniem wymuszającym okup działała poprawnie. Ochrona systemu plików w czasie rzeczywistym może zagwarantować, że komponent kopii zapasowej zawsze będzie w stanie utworzyć kopię, zanim będzie mogła wystąpić operacja zapisu żądana przez oprogramowanie wymuszające okup.
Opcja ręcznego tworzenia kopii zapasowych
Obecnie opcja ręcznego tworzenia lub przywracania kopii zapasowych nie jest możliwa.
Okres przechowywania danych z kopii zapasowych
Okres przechowywania nie jest potrzebny, ponieważ kopie zapasowe są odrzucane natychmiast po tym, jak funkcja Ochrona przed oprogramowaniem wymuszającym okup stwierdzi, że proces nie jest złośliwy. Jeśli funkcja Ochrona przed oprogramowaniem wymuszającym okup wykryje proces jako złośliwy, pliki z kopii zapasowej zostaną przywrócone do ich oryginalnych folderów.
Ograniczenia dotyczące kopii zapasowych
Kopia zapasowa wymaga wolnego miejsca na lokalnym dysku systemowym. Proces tworzenia kopii zapasowej zostanie zatrzymany, jeśli ilość wolnego miejsca w wolumenie spadnie poniżej minimalnych wymagań systemowych. Maksymalny rozmiar pliku przechowywanego w kopii zapasowej to 30 MB.
Ścieżka do przechowywania plików kopii zapasowych
Pliki kopii zapasowych są przechowywane w folderze C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Przechowywanie w chmurze i niestandardowy wybór folderów nie są obsługiwane.
Ochrona plików w kopii zapasowej
Technologia Self-Defense i lista kontroli dostępu (ACL) chroni pliki kopii zapasowych.
Usuwanie plików z kopii zapasowej
Plików kopii zapasowych nie można wymazać ani usunąć, chyba że w trybie awaryjnym, w którym Technologia Self-Defense nie jest aktywna. Są one usuwane, gdy proces zostanie uznany za niezłośliwy.
Ochrona plików w kopii zapasowej
Pliki kopii zapasowych są chronione przed szyfrowaniem przez oprogramowanie wymuszające okup.
Stan danych kopii zapasowych
Pliki w folderze kopii zapasowej są zaszyfrowane i są plikami typu ESET. Po odzyskaniu oryginalna zawartość jest przywracana jako kopia z _restored na końcu nazwy pliku.
Przypadki, w których wykonanie kopii zapasowej nie jest możliwe
Oprogramowanie wymuszające okup nie może modyfikować zablokowanego pliku (na przykład zablokowanego przez inny proces, system operacyjny itp.). Ustawienia listy kontroli dostępu (ACL) są zachowywane dla oryginalnego pliku.
Uprawnienia użytkownika do pliku po przywróceniu
Przywrócenie nie ma wpływu na wcześniej zdefiniowane uprawnienia użytkownika do oryginalnego pliku, ale użytkownicy lokalni (ograniczeni) mogą napotkać ograniczenia zdefiniowane według listy ACL.
Korzystanie z kopii w tle
Usługa kopiowania w tle (VSS) systemu Windows jest podatna na ataki. Oprogramowanie wymuszające okup może tworzyć zaszyfrowane kopie plików i zaraz po tym usuwać oryginały. Jest to zwykła operacja usuwania bez bezpośredniej modyfikacji. Następnie może odrzucić wszystkie migawki usługi VSS (jeśli zostały utworzone) i nie będzie możliwe ich odzyskanie. W związku z tym firma ESET korzysta z zastrzeżonego procesu kopiowania przy zapisie wspieranego przez funkcję Ochrona systemu plików w czasie rzeczywistym.
Powiadomienia dla użytkownika dotyczące kopii zapasowych
Jeśli funkcja Ochrona przed oprogramowaniem wymuszającym okup stwierdzi, że zachowanie pliku nie jest problematyczne, użytkownikowi ani administratorowi nie będą wyświetlane żadne powiadomienia. Pamięć masowa przeznaczona dla funkcji Naprawa szkód wyrządzonych przez oprogramowanie wymuszające okup może tymczasowo wzrosnąć, a później zostać usunięta.
Szybkość tworzenia kopii zapasowych
Szybkość tworzenia kopii zapasowych zależy od typu dysku twardego i szybkości procesora, ale powinna być wystarczająco duża, aby ten proces pozostał niezauważony.
Postępowanie z zaszyfrowanymi plikami
Pliki zaszyfrowane przez oprogramowanie wymuszające okup są przechowywane w oryginalnym folderze w celu dalszego zbadania i mogą zostać usunięte przez użytkownika, jeśli nie są już potrzebne. W przypadku fałszywych alarmów (np. plików zmodyfikowanych przez niestandardowe oprogramowanie do tworzenia kopii zapasowych) możesz użyć tych plików, ponieważ nie zostały zaszyfrowane, a pliki odzyskane z naszej kopii zapasowej są tylko kopiami tych plików.
