Popravljanje v primeru izsiljevalske programske opreme
Obnovitev delovanja
Funkcija je zasnovana za napade izsiljevalske programske opreme ničtega dne. Zaščita pred izsiljevalsko programsko opremo zazna izsiljevalsko programsko opremo, prekine njen postopek in jo postavi v karanteno, kar funkciji Popravljanje v primeru izsiljevalske programske opreme omogoči varnostno kopiranje in obnovitev poškodovanih datotek. ESET Endpoint Security prav tako uporablja sistem ugleda ESET LiveGrid®, ki izboljša splošno ukrepanje proti zlonamerni programski opremi. ESET je zasnoval ESET LiveGuard za dodatno raven zaščite in preprečevanje novih zunanjih groženj.
Zaščita map in diskov
Podprti so samo diski, zapisani v obliki NTFS. Izmenljivi nosilci podatkov, kot so zunanji pogoni ali druge naprave USB, niso podprti. Vsi lokalni diski in mape so zaščiteni. Skrbnik lahko določi izključitve iz te zaščite. Ni pa mogoče zaščititi samo določene datoteke v mapi. To lahko delno upravljate z določitvijo datotečnih pripon, ki jih je treba zaščititi.
Razpoložljivost funkcije v predizdajni različici ESET PROTECT 6.0
V predizdajni različici ESET PROTECT 6.0 so nastavitve vidne, če je v primerek dodan ustrezni ConfigEngine in je v odjemalskem računalniku nameščen agent ESET Management 12.0 ali novejša različica. Ta funkcija je samo za upravljanje in ni podprta za varnostne izdelke neupravljane delovne postaje. Po aktivaciji bodo nastavitve funkcije Popravljanje v primeru izsiljevalske programske opreme prikazane v lokalnem razdelku Napredne nastavitve > Zaščite > HIPS > Zaščita pred izsiljevalsko programsko opremo. Popravljanje v primeru izsiljevalske programske opreme morate aktivirati z ustrezno licenco in pravilnikom ter z omogočeno nastavitvijo Obnovi datoteke po napadu izsiljevalske programske opreme.
Sprožitev varnostnega kopiranja
Zaščita pred izsiljevalsko programsko opremo sproži komponento varnostnega kopiranja (Popravljanje v primeru izsiljevalske programske opreme). Sprotna zaščita datotečnega sistema omogoča, da komponenta varnostnega kopiranja zakasni postopke zapisovanja v zaščitene vrste datotek in sproti ustvari kopije. Varnostno kopiranje se bo začelo za postopke, ki jih Zaščita pred izsiljevalsko programsko opremo nadzoruje in prepozna kot sumljive. Za pravilno delovanje funkcije Zaščita pred izsiljevalsko programsko opremo morate omogočiti ESET LiveGrid®. Sprotna zaščita datotečnega sistema zagotavlja, da lahko komponenta varnostnega kopiranja vedno ustvari kopijo, preden pride do postopka zapisovanja, ki ga zahteva izsiljevalska programska oprema.
Možnost ročnega varnostnega kopiranja
Možnost ročnega varnostnega kopiranja ali obnovitve trenutno ni mogoča.
Obdobje hrambe varnostno kopiranih podatkov
Obdobje hrambe ni potrebno, saj se varnostne kopije zavržejo takoj, ko Zaščita pred izsiljevalsko programsko opremo ugotovi, da postopek ni zlonameren. Če pa Zaščita pred izsiljevalsko programsko opremo zazna postopek kot zlonameren, se varnostno kopirane datoteke obnovijo v prvotne mape.
Omejitve varnostnega kopiranja
Za varnostno kopiranje je potreben nezaseden prostor za shranjevanje na lokalnem sistemskem disku. Postopek varnostnega kopiranja se ustavi, če je nezasedenega prostora na disku manj od minimalnih sistemskih zahtev. Največja velikost datoteke, shranjene v varnostni kopiji, je 30 MB.
Pot za shranjevanje varnostno kopiranih datotek
Varnostno kopirane datoteke se shranijo v C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Shranjevanje v oblaku in izbira mape po meri nista podprta.
Zaščita datotek v varnostni kopiji
Varnostno kopirane datoteke so zavarovane s samozaščito in seznamom za nadzor dostopa.
Brisanje datotek v varnostni kopiji
Varnostno kopiranih datotek ni mogoče odstraniti ali izbrisati, razen v varnem načinu, v katerem samozaščita ni aktivirana. Datoteke se izbrišejo, ko se ugotovi, da postopek ni zlonameren.
Zaščita datotek v varnostni kopiji
Varnostno kopirane datoteke so zaščitene pred šifriranjem z izsiljevalsko programsko opremo.
Stanje varnostno kopiranih podatkov
Datoteke v varnostno kopirani mapi so šifrirane in vrste ESET. Po obnovitvi se prvotna vsebina obnovi kot kopija, ki na koncu imena datoteke vsebuje oznako _restored.
Kdaj varnostno kopiranje ni mogoče
Izsiljevalska programska oprema ne more spremeniti zaklenjene datoteke (npr. datoteke, zaklenjene z drugim postopkom, operacijskim sistemom itd.). Nastavitve seznama za nadzor dostopa se ohranijo za originalno datoteko.
Pravice uporabnika za datoteko po obnovitvi
Obnovitev ne vpliva na predhodno določene pravice uporabnika za originalno datoteko, vendar lahko lokalni (omejeni) uporabniki naletijo na omejitve, ki jih določi seznam za nadzor dostopa.
Uporaba senčne kopije
Storitev senčne kopije sistema Windows (Volume Shadow Copy – VSS) je dovzetna za napade. Izsiljevalska programska oprema lahko ustvari šifrirane kopije datotek in pozneje naenkrat izbriše originalne datoteke. To je običajen postopek brisanja brez neposrednih sprememb. Nato lahko zavrže vse posnetke storitve VSS (če so bili ustvarjeni) in obnovitev ni mogoča. Zato ESET uporablja lastniški postopek kopiranja pri zapisovanju, ki ga podpira sprotna zaščita datotečnega sistema.
Uporabniška obvestila o varnostnih kopijah
Če Zaščita pred izsiljevalsko programsko opremo ugotovi, da vedenje datoteke ni problematično, se uporabniku ali skrbniku ne prikaže nobeno obvestilo. Shramba funkcije Popravljanje v primeru izsiljevalske programske opreme se lahko začasno poveča in pozneje izbriše.
Hitrost varnostnega kopiranja
Hitrost varnostnega kopiranja je odvisna od vrste trdega diska in hitrosti CPE, vendar mora potekati dovolj hitro, da ostane neopaženo.
Ravnanje s šifriranimi datotekami
Datoteke, ki jih šifrira izsiljevalska programska oprema, se ohranijo v prvotni mapi za nadaljnjo preiskavo in uporabnik jih lahko izbriše, če jih ne potrebuje več. V primeru napačno pozitivnih rezultatov (npr. datoteke, ki jih je spremenila programska oprema za varnostno kopiranje po meri) lahko datoteke uporabljate, ker niso bile šifrirane, datoteke, obnovljene iz naše varnostne kopije, pa so samo kopije teh datotek.
