勒索软件修复

恢复功能

该功能专为零日勒索软件而设计。勒索软件防护将检测勒索软件，终止其进程并将其隔离，从而使勒索软件修复功能能够备份并恢复受损的文件。此外，ESET Endpoint Security 将使用 ESET LiveGrid® 信誉系统，帮助提高对抗恶意软件的整体效率。ESET 提供的 ESET LiveGuard 旨在增加另一层保护并缓解新出现的威胁。

文件夹和驱动器保护

仅支持 NTFS 格式的驱动器。不支持任何可移动磁盘，例如闪存驱动器或其他 USB 设备。所有本地驱动器和文件夹都受到保护。管理员可以定义从此保护中排除的项。无法仅保护文件夹中的特定文件。通过定义需要保护的文件扩展名，可以部分地管理此项。

ESET PROTECT 6.0 预发行版中的功能可用性

在 ESET PROTECT 6.0 的预发布版本中，如果将正确的 ConfigEngine 添加到实例中，并且在客户端计算机上安装了 ESET Management Agent 12.0 及更高版本，则设置将可见。此功能仅适用于托管安全产品，而不适用于非托管端点安全产品。激活后，勒索软件修复功能的设置将出现在本地高级设置 > 保护 > HIPS > 勒索软件防护中。必须使用合适的许可证和启用了在勒索软件攻击后恢复文件设置的策略来激活勒索软件修复。

备份触发器

勒索软件防护会触发备份组件（勒索软件修复）。文件系统实时防护允许备份组件延迟对受保护文件类型的写入操作并动态创建副本。备份将针对由勒索软件防护监视并识别为可疑的进程开始。必须启用 ESET LiveGrid®，勒索软件防护才能正常运行。文件系统实时防护可以保证备份组件始终可以在勒索软件请求的写入操作发生之前创建副本。

手动备份选项

目前，无法进行手动备份或恢复。

备份数据的保留期

不需要保留期，因为在勒索软件防护判断该进程无害后，备份会立即被丢弃。如果勒索软件防护检测到该进程是恶意的，则备份中的文件将恢复到其原始文件夹中。

备份限制

备份需要在本地系统驱动器上有足够的可用空间。如果卷上的可用空间低于最低系统要求，备份过程将停止。备份中保留的文件的最大大小为 30 MB。

备份文件存储路径

备份文件存储在 C:\ProgramData\ESET\ESET Security\RR\backup\{GUID} 中。不支持云存储和自定义文件夹选择。

保护备份中的文件

可通过自我防御和访问控制列表 (ACL) 保护备份文件。

删除备份中的文件

备份文件无法被擦除或删除，除非在安全模式下，在该模式下，自我防御将处于非活动状态。在该进程被判定为无害后，备份文件将被删除。

保护备份中的文件

备份文件受到勒索软件的加密保护。

备份数据的状态

备份文件夹中的文件将进行加密，并采用 ESET 文件类型。恢复时，原始内容将作为副本恢复，并在文件名末尾添加 _restored。

无法备份的情况

勒索软件无法修改锁定的文件（例如，被其他进程、操作系统等锁定）。原始文件的访问控制列表 (ACL) 设置被保留。

文件恢复后的用户权限

恢复操作不会影响以前为原始文件定义的用户权限，但本地（受限）用户可能会受到 ACL 定义的限制。

使用卷影副本

Windows 卷影副本服务 (VSS) 容易受到攻击。勒索软件可能会创建文件的加密副本，并在此后立即删除原始文件。这是一个常规的删除操作，不涉及直接修改。然后，它可能会丢弃所有 VSS 快照（如果已创建），此时无法进行恢复。因此，ESET 使用由文件系统实时防护支持的专有写入时复制进程。

备份的用户通知

如果勒索软件防护确定文件行为没有问题，则不会向用户或管理员显示任何通知。勒索软件修复存储可能会暂时增长，稍后会被删除。

备份速度

备份速度取决于硬盘驱动器类型和 CPU 速度，但应足够快，以至于不会引起注意。

处理加密文件

勒索软件加密的文件会保留在原始文件夹中，以便进一步调查，如果不再需要，用户可以删除这些文件。如果出现误报（例如，被自定义备份软件修改的文件），您可以使用这些文件，因为它们未被加密，而从我们的备份恢复的文件仅是这些文件的副本。

˄˅