Oprava po útoku ransomvérom
Funkcia obnovenia
Táto funkcia je zameraná na zero-day ransomvér. Ransomware Shield zdeteguje ransomvér, ukončí škodlivý proces a presunie ho do karantény, čím umožní funkcii Oprava po útoku ransomvérom zálohovať a obnoviť poškodené súbory. ESET Endpoint Security používa reputačný systém ESET LiveGrid®, ktorý pomáha zlepšovať celkovú účinnosť boja proti malvéru. Spoločnosť ESET navrhla ESET LiveGuard s cieľom pridať ďalšiu vrstvu ochrany a zmierňovať nové hrozby v reálnom svete.
Ochrana priečinkov a diskov
Podporované sú len disky naformátované na NTFS. Nie sú podporované žiadne vymeniteľné médiá, ako napríklad flash disky alebo iné USB zariadenia. Chránené sú všetky lokálne disky a priečinky. Správca môže zadefinovať vylúčenia, na ktoré sa ochrana nebude vzťahovať. Nie je možné chrániť iba konkrétny súbor v priečinku. Môžete však definovať prípony súborov, ktoré chcete chrániť.
Dostupnosť funkcií v predbežnej verzii ESET PROTECT 6.0
V predbežnej verzii ESET PROTECT 6.0 sú nastavenia viditeľné v prípade, ak je do inštancie pridaný správny komponent ConfigEngine a na klientskom počítači je nainštalovaný ESET Management Agent 12.0 a novší. Táto funkcia je určená len pre spravované zariadenia a nie je podporovaná pre nespravované bezpečnostné produkty pre koncové zariadenia. Po aktivácii sa nastavenia funkcie Oprava po útoku ransomvérom zobrazia cez miestne Rozšírené nastavenia > Ochrana > HIPS > Ransomware Shield. Oprava po útoku ransomvérom musí byť aktivovaná použitím vhodnej licencie a aplikovaním politiky s povoleným nastavením Obnoviť súbory po ransomvérovom útoku.
Spúšťače zálohovania
Ransomware Shield spustí komponent zálohovania (Oprava po útoku ransomvérom). Rezidentná ochrana súborového systému umožňuje komponentu zálohovania odložiť operácie zápisu pre určité typy chránených súborov a vytvárať kópie za chodu. Zálohovanie sa spustí pre procesy monitorované technológiou Ransomware Shield, ktorá ich vyhodnotí ako podozrivé. Systém ESET LiveGrid® musí byť zapnutý, aby Ransomware Shield fungoval správne. Rezidentná ochrana súborového systému zaručuje, že komponent zálohovania dokáže vždy vytvoriť kópiu skôr, ako dôjde k operácii zápisu vyžadovanej ransomvérom.
Možnosť manuálneho zálohovania
Momentálne nie je možné použiť manuálne zálohovanie ani obnovu.
Doba uchovávania zálohovaných údajov
Uchovávanie zálohovaných dát nie je potrebné, pretože zálohy sa mažú hneď po tom, ako Ransomware Shield určí, že proces nie je škodlivý. Ak Ransomware Shield identifikuje proces ako škodlivý, záloha sa obnoví do pôvodných priečinkov.
Obmedzenia zálohovania
Zálohovanie si vyžaduje voľné miesto na lokálnom systémovom disku. Proces zálohovania sa zastaví, ak je voľné miesto menšie, ako určujú minimálne systémové požiadavky. Maximálna veľkosť súboru uchovávaného v zálohe je 30 MB.
Cesta k úložisku so súbormi zálohy
Súbory zálohy sú uložené v umiestnení C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Cloudové úložisko a výber vlastného priečinka nie sú podporované.
Ochrana súborov v zálohe
Súbory zálohy sú chránené pomocou modulu Self-Defense a zoznamu Access Control List (ACL).
Odstránenie súborov v zálohe
Súbory zálohy nie je možné vymazať ani odstrániť; výnimkou je núdzový režim, v ktorom nie je aktívny modul Self-Defense. Odstránia sa po tom, ako je určené, že proces nie je škodlivý.
Ochrana súborov v zálohe
Súbory zálohy sú chránené pred šifrovaním ransomvérom.
Stav údajov zálohy
Súbory v priečinku na zálohy sú šifrované a uložené vo formáte súborov ESET. Pri obnove sa pôvodný obsah obnoví ako kópia s príponou _restored na konci názvu súboru.
Prípady, keď zálohovanie nie je možné
Ransomvér nemôže upraviť uzamknutý súbor (napríklad uzamknutý iným procesom, operačným systémom atď.). Nastavenia zoznamu riadenia prístupu (ACL) sú zachované pre pôvodný súbor.
Používateľské oprávnenia pre súbor po obnovení
Obnovenie nemá vplyv na predtým definované používateľské oprávnenia pre pôvodný súbor, ale lokálni používatelia s obmedzenými právami môžu naraziť na obmedzenia nastavené v zozname ACL.
Používanie tieňovej kópie
Služba Windows Shadow Copy Service (VSS) je náchylná na útoky. Ransomvér dokáže vytvoriť zašifrované kópie súborov a následne ihneď odstrániť originály. Ide o bežnú operáciu vymazávania bez priamej úpravy. Následne môže zlikvidovať všetky snímky VSS (ak boli vytvorené) a znemožniť tým obnovu. ESET používa vlastný proces kopírovania pri zápise (CoW), ktorý je podporovaný rezidentnou ochranou súborového systému.
Oznámenia pre používateľov o zálohovaní
Ak Ransomware Shield určí, že správanie súboru nie je problematické, používateľovi ani správcovi sa nezobrazia žiadne oznámenia. Úložisko pre opravu po útoku ransomvérom sa môže dočasne zväčšiť, ale neskôr sa odstráni.
Rýchlosť zálohovania
Rýchlosť zálohovania závisí od typu pevného disku a rýchlosti procesora, avšak nemala by spôsobovať žiadne narušenia.
Zaobchádzanie so zašifrovanými súbormi
Súbory zašifrované ransomvérom sa uchovávajú v pôvodnom priečinku na ďalšie preskúmanie a používateľ ich môže odstrániť, ak ich už nepotrebuje. V prípade nesprávnej detekcie (napr. súbory modifikované vlastným zálohovacím programom) možno tieto súbory použiť, keďže neboli zašifrované, a súbory obnovené zo zálohy sú len ich kópiami.
