Åtgärd mot ransomware
Återställ funktionalitet
Denna funktion är utformad för dagnoll-ransomware. Skydd mot ransomware upptäcker ransomware, avslutar dess processflöde och sätter den i karantän, vilket tillåter Åtgärder mot ransomware att säkerhetskopiera och återställa skadade filer. ESET Endpoint Security använder dessutom ESET LiveGrid® ryktessystem som hjälper till att förbättra den övergripande effektiviteten mot skadlig kod. ESET har utvecklat ESET LiveGuard för att skapa ytterligare ett lager av skydd och för att motverka nya hot.
Mapp- och enhetsskydd
Endast NTFS-formaterade enheter stöds. Flyttbara medier som USB-minnen eller externa hårddiskar stöds inte. Alla lokala enheter och mappar är skyddade. Administratören kan välja att göra undantag från det här skyddet. Det är inte möjligt att endast skydda en specifik fil i en mapp. Detta kan till viss del hanteras genom att definiera filändelser som behöver skyddas.
Tillgänglighet av funktioner i ESET PROTECT 6.0 testläge
I testlägesversionen av ESET PROTECT 6.0 syns inställningarna endast om rätt ConfigEngine läggs till i instansen och om ESET Management Agent 12.0 eller senare har installerats på en klientdator. Den här funktionen är endast avsedd för hanterade produkter och kan inte användas med icke-hanterade endpoint-säkerhetsprodukter. Efter aktiveringen kommer inställningarna för Åtgärder mot ransomware att visas lokalt under Avancerade inställningar > Skydd > HIPS > Skydd mot ransomware. Åtgärder mot ransomware måste vara aktiverat med en lämplig licens och policyn måste vara inställd på Återställ filer efter en ransomware-attack.
Utlösare för säkerhetskopiering
Skydd mot ransomware aktiverar säkerhetskopieringskomponenten (Åtgärder mot ransomware). Skydd av filsystemet i realtid gör det möjligt för säkerhetskopieringskomponenten att fördröja skrivåtgärder till skyddade filtyper och att löpande skapa kopior. Säkerhetskopieringen startas för processer som bevakas av Skydd mot ransomware och identifieras som misstänkta. ESET LiveGrid® måste vara aktiverat för att Skydd mot ransomware ska fungera korrekt. Skydd av filsystemet i realtid garanterar att säkerhetskopieringskomponenten alltid kan skapa en kopia innan en begärd skrivoperation från ransomware kan genomföras.
Alternativ för manuell säkerhetskopiering
För närvarande är det inte möjligt att utföra en manuell säkerhetskopiering eller återställning.
Lagringsperiod för säkerhetskopierade data
Det är inte nödvändigt med någon lagringsperiod eftersom säkerhetskopiorna raderas omedelbart när Skydd mot ransomware har fastställt att det inte rör sig om en skadlig process. Om Skydd mot ransomware upptäcker att processen är skadlig så återställs filerna i säkerhetskopian till sina ursprungliga mappar.
Begränsningar för säkerhetskopiering
Säkerhetskopiering kräver ledigt utrymme på den lokala hårddisken. Säkerhetskopieringen stoppas om utrymmet på disken understiger systemets minimikrav. Den maximala storleken för en lagrad säkerhetskopia är 30 MB.
Sökväg för lagring av säkerhetskopieringsfil
Säkerhetskopior lagras i C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Det är inte möjligt att lagra i molnet eller välja egna mappar för lagring.
Skydd av säkerhetskopierade filer
Självförsvar och Åtkomstkontrollistan (ACL) skyddar säkerhetskopiorna.
Radering av säkerhetskopierade filer
Om du inte använder felsäkert läge och Självförsvar inte är aktiverat kan du inte radera eller ta bort säkerhetskopierade filer. De tas bort när processen bedöms vara ofarlig.
Skydd av säkerhetskopierade filer
Säkerhetskopior är skyddade från kryptering av ransomware.
Status för säkerhetskopierade data
Filerna i säkerhetskopieringsmappen är krypterade och är av typen ESET-filer. När det ursprungliga innehållet återställs återskapas det som en kopia med _restored i slutet av filnamnet.
Fall då säkerhetskopiering inte är möjligt
Ransomware kan inte ändra en låst fil (om den till exempel har låsts av en annan process, ett annat operativsystem eller liknande). Inställningarna för Åtkomstkontrollistan (ACL) behålls för den ursprungliga filen.
Användarbehörigheter för en fil efter återställning
Återställningen påverkar inte tidigare angivna användarbehörigheter för originalfilen, men lokala (begränsade) användare kan ha begränsningar som definieras i ACL.
Användning av skuggkopiering
Windows tjänst för skuggkopiering (VSS) är sårbar för attacker. Ransomware kan skapa krypterade kopior av filer och radera originalen direkt därefter. Detta är en vanlig borttagningsåtgärd som inte kräver några direkta ändringar. Därefter kan alla ögonblicksbilder i VSS (om de har skapats) raderas och ingen återställning är möjlig. Därför använder ESET en egenutvecklad process för att kopiera direkt vid skrivning som kompletteras med Skydd av filsystemet i realtid.
Användarmeddelanden för säkerhetskopieringar
Om Skydd mot ransomware fastställer att filens beteende inte är problematiskt visas inga meddelanden för användaren eller administratören. Lagringsutrymmet för Åtgärder mot ransomware kan tillfälligt öka och senare raderas.
Hastighet på säkerhetskopiering
Hur snabbt säkerhetskopieringen går beror på typen av hårddisk och CPU-hastighet, men det bör gå tillräckligt snabbt för att det inte ska märkas av.
Hantering av krypterade filer
Filer som krypterats av ransomware lagras i originalmappen för vidare utredning och kan raderas av användaren om de inte längre behövs. Om falska positiva resultat uppstår (t.ex. om filer har ändrats av en anpassad programvara för säkerhetskopiering) kan dessa filer fortfarande användas eftersom de inte har krypterats och eftersom filer som återställs från våra säkerhetskopior endast är kopior av dessa filer.
