勒索軟體修復

還原功能

該功能是針對零時差勒索軟體而設計的。勒索軟體保護將會偵測勒索軟體、終止其程序並將其隔離，進而允許勒索軟體修復備份和復原損毀的檔案。此外，ESET Endpoint Security 使用 ESET LiveGrid® 聲譽系統，有助於提高對抗惡意軟體的整體效率。ESET 已設計 ESET LiveGuard 來增加另一層防護並減輕發佈後發現的新威脅。

資料夾和磁碟機防護

僅支援 NTFS 格式的磁碟機。不支援任何的卸除式媒體，例如隨身碟或其他 USB 裝置。所有本機磁碟機和資料夾都受到保護。管理員可以定義此防護的排除內容。無法僅保護資料夾內的特定檔案。這可以藉由定義需要防護的檔案副檔名來進行部分管理。

ESET PROTECT 6.0 預先發佈版本中的功能可用性

在 ESET PROTECT 6.0 的預先發佈版本中，如果對執行個體新增正確的 ConfigEngine，並且在用戶端電腦上安裝了 ESET Management 代理程式 12.0 及較新版本，則設定可見。此功能僅限受管理產品，不支援未受管理的端點安全性產品。啟動之後，勒索軟體修復設定將出現在本機 [進階設定] > [防護] > [HIPS] > [勒索軟體修復]。必須使用適用的授權和已啟用 [勒索軟體攻擊之後還原檔案] 設定的原則來啟動勒索軟體修復。

備份觸發器

勒索軟體保護觸發備份元件 (勒索軟體修復)。即時檔案系統防護可讓備份元件延遲對受保護檔案類型的寫入作業並動態建立副本。將針對勒索軟體保護監視並識別為可疑的程序開始備份。必須啟用 ESET LiveGrid® 才能讓勒索軟體保護正常運作。即時檔案系統防護可以確保備份元件始終能夠在勒索軟體要求的寫入作業發生之前建立副本。

手動備份選項

目前，無法進行手動備份或還原。

備份資料的保留期間

不需要保留期間，因為在勒索軟體保護確定該程序不是惡意的之後，備份就會立即捨棄。如果勒索軟體保護偵測到該程序是惡意的，則備份中的檔案將還原到其原始資料夾中。

備份限制

備份需要本機系統磁碟機上的可用空間。如果磁碟區上的可用空間低於系統需求下限，則將停止備份程序。備份中儲存檔案的大小上限為 30 MB。

備份檔案儲存路徑

備份檔案儲存在 C:\ProgramData\ESET\ESET Security\RR\backup\{GUID} 中。不支援雲端儲存和自訂資料夾選取項目。

保護備份中的檔案

自我防護和存取控制清單 (ACL) 保護備份檔案。

刪除備份中的檔案

除非在安全模式下，而自我防護未處於作用中狀態，否則無法清除或刪除備份檔案。一旦該程序已認為不再具有惡意，就會將其刪除。

保護備份中的檔案

備份檔案受到保護，不會被勒索軟體加密。

備份資料的狀態

備份資料夾中的檔案已加密，並且屬於 ESET 檔案類型。復原之後，原始內容將還原為檔案名稱結尾具有 _restored 的副本。

無法備份的情況

勒索軟體無法修改鎖定的檔案 (例如，由另一個程序、作業系統等鎖定的檔案)。保留原始檔案的存取控制清單 (ACL) 設定。

還原之後的檔案使用者權限

還原不會影響原始檔案之前定義的使用者權限，但是本機 (受限制) 使用者可能會面臨 ACL 定義的限制。

使用陰影複製

Windows 陰影複製服務 (VSS) 容易受到攻擊。勒索軟體可以建立檔案的加密副本，然後立即刪除原始檔案。這是一個定期的刪除作業，沒有直接的修改。然後，其可以捨棄 VSS 的所有快照 (如果已建立的話)，並且無法進行復原。因此，ESET 使用由即時檔案系統防護支援的專屬寫入時複製程序。

備份的使用者通知

如果勒索軟體保護確定檔案行為沒有問題，則不會對使用者或管理員顯示任何通知。勒索軟體修復儲存區可能會暫時地增大，隨後會刪除。

備份速度

備份速度取決於硬碟類型和 CPU 速度，但應該足夠快速以免被注意。

已加密檔案的處理

已由勒索軟體加密的檔案將儲存在原始資料夾中以供進一步調查，如果不再需要，使用者可以將其刪除。如果出現誤判 (例如，檔案由自訂備份軟體進行修改)，您可以使用這些檔案，因為其未被加密，並且從我們的備份中復原的檔案只是這些檔案的副本。

˄˅