Remediere ransomware
Funcționalitatea de restaurare
Funcționalitatea este concepută pentru ransomware-ul de tip Ziua Zero. Protecție ransomware va detecta ransomware-ul, va încheia procesul acestuia și îl va pune în carantină, permițând componentei Remediere ransomware să facă o copie de rezervă și să recupereze fișierele deteriorate. În plus, ESET Endpoint Security folosește sistemul de reputație ESET LiveGrid®, care ajută la îmbunătățirea eficienței generale împotriva malware-ului. ESET a conceput ESET LiveGuard ca un nivel suplimentar de protecție și pentru a atenua noile amenințări din sălbăticie.
Protecția directoarelor și a unităților
Sunt acceptate numai unități formatate NTFS. Nu sunt acceptate unități media portabile, cum ar fi unități flash sau alte dispozitive USB. Toate unitățile și directoarele locale sunt protejate. Administratorul poate defini excluderi de la această protecție. Nu este posibil să protejați doar un anumit fișier dintr-un folder. Acest lucru poate fi gestionat parțial definind extensii de fișiere care trebuie protejate.
Disponibilitatea funcționalității în versiunea prelansare ESET PROTECT 6.0
În versiunea prelansare ESET PROTECT 6.0, setările sunt vizibile dacă adăugați un ConfigEngine corect la instanță și Agentul ESET Management 12.0 sau o versiune ulterioară este instalat pe un computer client. Această funcționalitate este doar gestionată și ea nu este acceptată pentru produsele de securitate endpoint negestionate. După activare, setările pentru Remediere ransomware vor apărea în Setare avansată > Protecții > HIPS > Protecție ransomware. Componenta Remediere ransomware trebuie activată cu licența adecvată și printr-o politică având activată setarea Restaurare fișiere după un atac ransomware.
Declanșatoare pentru copierea de rezervă
Protecție ransomware declanșează componenta de copiere de rezervă (Remediere ransomware). Componenta Protecție în timp real pentru sistemul de fișiere permite componentei de copiere de rezervă să întârzie operațiunile de scriere pe tipurile de fișiere protejate și să creeze copii din mers. Copierea de rezervă începe pentru procesele monitorizate și identificate ca fiind suspecte de către Protecție ransomware. ESET LiveGrid® trebuie să fie activat pentru ca Protecție ransomware să funcționeze corect. Componenta Protecție în timp real pentru sistemul de fișiere poate garanta faptul că componenta de copiere de rezervă poate crea întotdeauna o copie înainte ca operațiunea de scriere efectuată de ransomware să poată avea loc.
Opțiunea Copiere de rezervă manuală
În prezent, opțiunea de copiere de rezervă sau restaurare manuală nu este posibilă.
Perioada de păstrare pentru datele copiate de rezervă
Nu este necesară nicio perioadă de păstrare, deoarece copiile de rezervă sunt eliminate imediat după ce Protecție ransomware stabilește că procesul nu este rău intenționat. Dacă Protecție ransomware detectează procesul ca fiind rău intenționat, fișierele din copia de rezervă sunt restaurate în directoarele originale.
Limitări pentru copiile de rezervă
Copierea de rezervă are nevoie de spațiu liber pe unitatea de sistem locală. Procesul de copiere de rezervă se va opri dacă spațiul liber din volum este sub cerințele minime de sistem. Dimensiunea maximă a unui fișier păstrat în copia de rezervă este de 30 MB.
Calea de stocare pentru fișierele din copia de rezervă
Fișierele din copia de rezervă sunt stocate în C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Stocarea în cloud și selectarea unui director personalizat nu sunt acceptate.
Protecția fișierelor din copia de rezervă
Funcțiile Auto-apărare și Listă de control al accesului (ACL) protejează fișierele din copia de rezervă.
Ștergerea fișierelor din copia de rezervă
Fișierele din copia de rezervă nu pot fi eliminate sau șterse decât în modul siguranță, unde funcția Auto-apărare nu este activă. Acestea sunt șterse după ce procesul este considerat ca nefiind rău intenționat.
Protecția fișierelor din copia de rezervă
Fișierele de rezervă sunt protejate împotriva acțiunii de criptare de către ransomware.
Starea datelor din copia de rezervă
Fișierele din directorul de copiere de rezervă sunt criptate și folosesc un tip de fișier ESET. După recuperare, conținutul original este restaurat ca o copie având _restored adăugat după numele fișierului.
Cazuri în care copierea de rezervă nu este posibilă
Ransomware-ul nu poate modifica un fișier care este blocat (de exemplu, blocat de către un alt proces, de sistemul de operare etc.). Setările pentru fișierul original din Lista de control al accesului (ACL) sunt păstrate.
Privilegiile utilizatorului pentru un fișier după restaurare
Restaurarea nu afectează privilegiile de utilizator definite anterior pentru fișierul original, dar utilizatorii locali (restricționați) se pot confrunta cu restricții definite de ACL.
Utilizarea copiei în umbră
Serviciul Windows Shadow Copy Service (VSS) este susceptibil la atacuri. Ransomware-ul poate crea copii criptate ale fișierelor și poate șterge originalele imediat după aceea. Aceasta este o operațiune obișnuită de ștergere, fără modificări directe. Apoi, poate elimina toate instantaneele VSS (dacă au fost create) și recuperarea nu mai este posibilă. Prin urmare, ESET utilizează un proces proprietar de tip copiere la scriere, combinat cu componenta Protecție în timp real pentru sistemul de fișiere.
Notificări pentru utilizator privind copiile de rezervă
Dacă Protecție ransomware stabilește că comportamentul fișierului nu este problematic, nu sunt afișate notificări utilizatorului sau administratorului. Spațiul de stocare pentru Remediere ransomware poate crește temporar și ulterior poate fi șters.
Viteza copierii de rezervă
Viteza copierii depinde de tipul de hard disk și de viteza procesorului, dar ar trebui să fie suficient de rapidă pentru a rămâne neobservată.
Manevrarea fișierelor criptate
Fișierele criptate de către ransomware sunt păstrate în folderul original pentru investigații suplimentare și pot fi șterse de către utilizator dacă nu mai sunt necesare. În cazul unor rezultate fals pozitive (de exemplu, fișiere modificate de un software personalizat de copiere de rezervă), puteți utiliza aceste fișiere, deoarece ele nu au fost criptate, iar fișierele recuperate din copia noastră de rezervă sunt doar copii ale acelor fișiere.
