Відновлення після атак програм-вимагачів
Відновлення роботи
Ця функція призначена для програм-вимагачів нульового дня. Засіб "Захист від програм-вимагачів" виявить програму-вимагача, завершить її процес і помістить її в карантин, що дасть змогу функції "Відновлення після атак програм-вимагачів" створити резервну копію і відновити пошкоджені файли. Крім того, ESET Endpoint Security використовує систему репутації ESET LiveGrid®, яка допомагає підвищити загальну ефективність боротьби зі шкідливим програмним забезпеченням. ESET розробили ESET LiveGuard, щоб додати ще один рівень захисту й зменшити наслідки від нових загроз.
Захист папок і дисків
Підтримуються лише диски у форматі NTFS. Змінні носії, як-от флешпам’ять і інші USB-пристрої, не підтримуються. Усі локальні диски й папки захищено. Адміністратор може виключати об’єкти зі списку захищених. Захистити лише окремий файл у папці неможливо. Частково цього можна досягти, визначивши розширення файлів, які потрібно захистити.
Доступність функцій у попередній версії ESET PROTECT 6.0
У попередній версії ESET PROTECT 6.0 налаштування видно, якщо в екземпляр додано правильний варіант ConfigEngine, а на клієнтському комп’ютері інстальовано ESET Management Agent 12.0 або новіших версій. Ця функція призначена лише для керування й не підтримується в продуктах із безпеки на некерованих робочих станціях. Після активації налаштування функції "Відновлення після атак програм-вимагачів" з’являться в локальному розділі Додаткові параметри > Модулі захисту > HIPS > Захист від програм-вимагачів. Функцію "Відновлення після атак програм-вимагачів" має бути активовано за допомогою відповідної ліцензії і політики з увімкненим параметром Відновити файли після атаки програми-вимагача.
Тригери резервного копіювання
Засіб Захист від програм-вимагачів запускає компонент резервного копіювання (функцію "Відновлення після атак програм-вимагачів"). Захист файлової системи в режимі реального часу дозволяє компоненту резервного копіювання відкладати операції запису в захищені типи файлів і в реальному часі створювати копії. Резервне копіювання розпочнеться для процесів, які відстежуються й визначаються як підозрілі засобом "Захист від програм-вимагачів". Для належної роботи засобу має бути ввімкнено ESET LiveGrid®. Захист файлової системи в режимі реального часу може гарантувати, що компонент резервного копіювання завжди зможе створити копію, перш ніж відбудеться запитувана програмою-вимагачем операція запису.
Опція ручного резервного копіювання
Наразі опція ручного резервного копіювання або відновлення недоступна.
Період зберігання резервних копій даних
Період зберігання не потрібен, оскільки резервні копії вилучаються відразу після того, як засіб "Захист від програм-вимагачів" визначає, що процес не є зловмисним. Якщо засіб "Захист від програм-вимагачів" визначає процес як шкідливий, файли з резервної копії відновлюються в оригінальні папки.
Обмеження резервного копіювання
Для резервного копіювання потрібне вільне місце на локальному системному диску. Процес резервного копіювання зупиниться, якщо вільне місце в томі буде меншим, ніж передбачають мінімальні системні вимоги. Максимальний розмір файлу, що зберігається в резервній копії, становить 30 МБ.
Шлях до резервних копій файлів
Резервні копії файлів зберігаються за шляхом C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Хмарне сховище або користувацькі папки не підтримуються.
Захист резервних копій файлів
Резервні копії файлів захищено за допомогою функції самозахисту й списку керування доступом (ACL).
Видалення резервних копій файлів
Резервні копії файлів можна стерти або видалити лише в безпечному режимі, коли функція самозахисту не працює. Вони видаляються після того, як процес буде визнано нешкідливим.
Захист резервних копій файлів
Резервні копії файлів захищено від шифрування програмами-вимагачами.
Стан резервних даних
Файли в папці з резервними копіями зашифровані й мають формат ESET. Після відновлення оригінальний файл відновлюється у вигляді копії з префіксом _restored у кінці імені.
Випадки, коли резервне копіювання неможливе
Програми-вимагачі не можуть змінювати заблокований файл (наприклад, іншим процесом, операційною системою тощо). Налаштування списку керування доступом (ACL) зберігаються для оригінального файлу.
Права користувача після відновлення файлу
Відновлення не впливає на раніше визначені права користувача відносно оригінального файлу, але локальні (обмежені) користувачі можуть зіткнутися з обмеженнями списку ACL.
Використання тіньової копії
Служба тіньового копіювання Windows (VSS) уразлива до атак. Програми-вимагачі можуть створювати зашифровані копії файлів і відразу видаляти оригінали. Це звичайна операція видалення, і прямі зміни не вносяться. Потім програма може вилучити всі знімки VSS (якщо їх було створено), що внеможливить відновлення. Через це ESET використовує власний процес копіювання під час запису, який підтримується Захистом файлової системи в режимі реального часу.
Сповіщення користувачів про резервне копіювання
Якщо засіб "Захист від програм-вимагачів" визначить, що поведінка файлу не становить проблем, сповіщення не відображатимуться користувачеві чи адміністратору. Сховище для функції "Відновлення після атак програм-вимагачів" може тимчасово збільшуватися, а потім очищуватися.
Швидкість резервного копіювання
Швидкість резервного копіювання залежить від типу жорсткого диска й швидкості процесора, але має бути достатньо високою, щоб цей процес залишався непомітним для користувача.
Обробка зашифрованих файлів
Зашифровані програмою-вимагачем файли зберігаються в оригінальній папці для подальшого дослідження й можуть бути видалені користувачем, якщо більше не потрібні. У разі помилкових спрацювань (наприклад, файли змінено спеціальним програмним забезпеченням для резервного копіювання) ви можете використовувати ці файли, оскільки вони не шифруються, а файли, відновлені з резервної копії, є лише копіями.
