Восстановление после программ-вымогателей
Как работает восстановление
Эта функция предназначена для программ-вымогателей нулевого дня. Защита от программ-вымогателей обнаруживает программу-вымогатель, завершает ее процесс и помещает ее в карантин, позволяя функции восстановления после программ-вымогателей создать резервную копию и восстановить поврежденные файлы. Кроме того, в ESET Endpoint Security используется система репутации ESET LiveGrid®, которая помогает повысить общую эффективность борьбы с вредоносными программами. Компания ESET создала ESET LiveGuard, чтобы добавить еще один уровень защиты и устранять новые угрозы в условиях реального мира.
Защита папок и дисков
Поддерживаются только диски в формате NTFS. Съемные носители, такие как устройства флэш-памяти или другие USB-устройства, не поддерживаются. Защищаются все локальные жесткие диски и папки. Администратор может определить исключения из этой защиты. Невозможно защитить один конкретный файл внутри папки. Это ограничение можно частично обойти, указав расширения файлов, которые необходимо защищать.
Доступность функции в предварительной версии решения ESET PROTECT 6.0
В предварительной версии решения ESET PROTECT 6.0 настройки отображаются, если в экземпляр добавлен правильный модуль ConfigEngine и на клиентском компьютере установлен агент ESET Management 12.0 или более поздней версии. Эта функция может быть только управляемой и не поддерживается для неуправляемых продуктов безопасности для конечных точек. После активации настройки восстановления после программ-вымогателей появятся в локальном разделе Расширенные параметры > Защита > Система HIPS > Защита от программ-вымогателей. Функция «Восстановление после программ-вымогателей» должна быть активирована с помощью подходящей лицензии и политики с включенной настройкой Восстанавливать файлы после атаки программы-вымогателя.
Триггеры резервного копирования
Защита от программ-вымогателей запускает компонент резервного копирования (восстановление после программ-вымогателей). Защита файловой системы в реальном времени позволяет компоненту резервного копирования задерживать операции записи для защищенных типов файлов и создавать копии на лету. Резервное копирование запускается для процессов, которые отслеживаются функцией защиты от программ-вымогателей и идентифицируются ею как подозрительные. Для правильной работы защиты от программ-вымогателей должна быть включена система ESET LiveGrid®. Защита файловой системы в реальном времени может гарантировать, что компонент резервного копирования всегда сможет создать копию до выполнения операции записи, которую запрашивает программа-вымогатель.
Возможность резервного копирования вручную
В настоящее время выполнить резервное копирование или восстановление вручную невозможно.
Период хранения резервных копий данных
Период хранения не требуется, так как резервные копии удаляются сразу же после того, как защита от программ-вымогателей определяет, что процесс не является вредоносным. Если защита от программ-вымогателей распознает процесс как вредоносный, файлы в резервной копии восстанавливаются в исходные папки.
Ограничения резервного копирования
Для резервного копирования требуется свободное место на локальном системном диске. Процесс резервного копирования останавливается, если свободное место тома будет ниже минимальных системных требований. Максимальный размер файла, добавляемого в резервную копию, составляет 30 МБ.
Путь к хранилищу файлов резервной копии
Файлы резервной копии хранятся в каталоге C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Облачные хранилища и выбор пользовательской папки не поддерживаются.
Защита файлов в резервной копии
Файлы резервной копии защищены функцией самозащиты и списком управления доступом (ACL).
Удаление файлов резервной копии
Файлы резервной копии не могут быть стерты или удалены, если не включен безопасный режим, в котором не активна самозащита. Они удаляются после того, как процесс будет признан невредоносным.
Защита файлов в резервной копии
Файлы резервной копии защищены от шифрования программами-вымогателями.
Состояние данных резервной копии
Файлы в папке резервного копирования зашифрованы и имеют тип файла ESET. При восстановлении исходное содержимое восстанавливается как копия с добавлением слова _restored в конец имени файла.
Случаи, когда резервное копирование невозможно
Программы-вымогатели не могут изменить заблокированный файл (например, заблокированный другим процессом, операционной системой и т. д.). Настройки списка управления доступом (ACL) сохраняются для исходного файла.
Привилегии пользователя файла после восстановления
Восстановление не влияет на ранее заданные привилегии пользователя для исходного файла, но локальные пользователи (с ограниченным доступом) могут столкнуться с ограничениями, настроенными в ACL.
Использование теневой копии
Служба теневого копирования Windows (VSS) уязвима для атак. Программа-вымогатель может создать зашифрованные копии файлов и сразу же удалить оригиналы. Это обычная операция удаления без непосредственного изменения. Затем она может удалить все снимки VSS (если они были созданы), и восстановление становится невозможным. Поэтому ESET использует запатентованный процесс копирования при записи в сочетании с защитой файловой системы в реальном времени.
Уведомление пользователей для резервных копий
Если защита от программ-вымогателей определяет, что поведение файла не вызывает проблем, для пользователя или администратора уведомление не отображается. Хранилище службы восстановления после программ-вымогателей может временно увеличиваться, но затем оно удаляется.
Скорость резервного копирования
Скорость резервного копирования зависит от типа жесткого диска и скорости процессора, но должна быть достаточной, чтобы оставаться незамеченной.
Работа с зашифрованными файлами
Файлы, зашифрованные программой-вымогателем, остаются в исходной папке для дальнейшего изучения и могут быть удалены пользователем, если в них больше нет необходимости. В случае ложного срабатывания (например, файлы были изменены специальной программой резервного копирования) эти файлы можно использовать, поскольку они не были зашифрованы. А файлы, восстановленные из нашей резервной копии, являются просто копиями этих файлов.
