Correção de ransomware
Restaurar funcionalidade
O recurso foi projetado para ransomware de dia zero. O Escudo Anti-ransomware detectará o ransomware, encerrará seu processo e o colocará em quarentena, permitindo que a Correção de ransomware faça backup e recupere arquivos danificados. Além disso, o ESET Endpoint Security usa o sistema de reputação ESET LiveGrid® que ajuda a melhorar a eficiência geral contra malware. A ESET projetou o ESET LiveGuard para adicionar outra camada de proteção e mitigar novas ameaças encontradas no dia a dia.
Proteção de pastas e unidades
Compatível apenas com unidades formatadas em NTFS. Não compatível com nenhuma mídia removível, como pen drives ou outros dispositivos USB. Todas as unidades e pastas locais são protegidas. O administrador pode definir exclusões dessa proteção. Não é possível proteger apenas um arquivo específico dentro de uma pasta. Isso pode ser parcialmente gerenciado definindo extensões de arquivo que precisam ser protegidas.
Disponibilidade de recursos no pré-lançamento do ESET PROTECT versão 6.0
Na versão de pré-lançamento do ESET PROTECT versão 6.0, as configurações ficam visíveis se o ConfigEngine correto for adicionado à instância e o Agente ESET Management 12.0 e versões mais recentes estiver instalado em um computador cliente. Esse recurso é apenas gerenciado e não é compatível com produtos de segurança de endpoint não gerenciados. Após a ativação, as configurações de Correção de ransomware aparecerão na Configuração avançada local > Proteções > HIPS > Escudo Anti-ransomware. A Correção de ransomware deve ser ativada com a licença adequada e a política com a configuração Restaurar arquivos após um ataque de ransomware ativada.
Gatilhos de backup
O Escudo Anti-ransomware aciona o componente de backup (Correção de ransomware). A Proteção em tempo real do sistema de arquivos permite que o componente de backup atrase as operações de gravação em tipos de arquivos protegidos e crie cópias em tempo real. O backup será iniciado para processos monitorados e identificados como suspeitos pelo Escudo Anti-ransomware. O ESET LiveGrid® deve estar habilitado para que o Escudo Anti-ransomware funcione corretamente. A Proteção em tempo real do sistema de arquivos pode garantir que o componente de backup sempre possa criar uma cópia antes que a operação de gravação solicitada pelo ransomware possa ocorrer.
Opção de backup manual
Atualmente, a opção de backup manual ou restauração não é possível.
Período de retenção para dados de backup
Nenhum período de retenção é necessário, pois os backups são descartados imediatamente após o Escudo Anti-ransomware determinar que o processo não é malicioso. Se o Escudo Anti-ransomware detectar o processo como malicioso, os arquivos no backup serão restaurados em suas pastas originais.
Limitações de backup
O backup requer espaço livre na unidade do sistema local. O processo de backup será interrompido se o espaço livre no volume estiver abaixo dos requisitos mínimos do sistema. O tamanho máximo de um arquivo mantido em backup é de 30 MB.
Caminho de armazenamento de arquivos de backup
Os arquivos de backup são armazenados no C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Não é possível fazer o armazenamento em nuvem e a seleção de pastas personalizadas.
Proteção de arquivos em backup
A Autodefesa e Lista de controle de acesso (ACL) protege os arquivos de backup.
Remoção de arquivos no backup
Os arquivos de backup não podem ser apagados ou removidos, a menos que estejam no modo de segurança, onde a Autodefesa não está ativa. Eles são removidos depois que o processo é considerado não malicioso.
Proteção de arquivos em backup
Os arquivos de backup são protegidos contra criptografia por ransomware.
Estado dos dados de backup
Os arquivos na pasta de backup são criptografados e estão no tipo de arquivo ESET. Quando recuperado, o conteúdo original é restaurado como uma cópia com _restored o final do nome do arquivo.
Casos em que o backup não é possível
O ransomware não pode modificar um arquivo bloqueado (por exemplo, bloqueado por outro processo, sistema operacional, etc.). As configurações da Lista de controle de acesso (ACL) são mantidas para o arquivo original.
Privilégios de usuário de um arquivo após a restauração
A restauração não afeta os privilégios de usuário definidos anteriormente para o arquivo original, mas os usuários locais (restritos) podem enfrentar restrições definidas pela ACL.
Uso da Cópia de sombra
O Serviço de cópias de sombra do Windows (VSS) é suscetível a ataques. O ransomware pode criar cópias criptografadas de arquivos e remover originais de uma só vez. Esta é uma operação de remoção regular sem modificação direta. Em seguida, ele pode descartar todos os instantâneos do VSS (se eles foram criados) sem possibilidade de recuperação. Portanto, a ESET usa um processo proprietário de cópia na gravação apoiado pela Proteção em tempo real do sistema de arquivos.
Notificações do usuário para backups
Se o Escudo Anti-ransomware determinar que o comportamento do arquivo não é problemático, nenhuma notificação será mostrada ao usuário ou administrador. O armazenamento da Correção de ransomware pode aumentar temporariamente e ser removido posteriormente.
Velocidade de backup
A velocidade de backup depende do tipo de disco rígido e da velocidade da CPU, mas deve ser rápida o suficiente para passar despercebida.
Lidando com arquivos criptografados
Os arquivos criptografados por ransomware são mantidos na pasta original para investigação adicional e podem ser removidos pelo usuário se não forem mais necessários. Em caso de falsos positivos (por exemplo, arquivos modificados por software de backup personalizado), você pode usar esses arquivos, pois eles não foram criptografados, e os arquivos recuperados de nosso backup são apenas cópias desses arquivos.
