Obnova po útoku ransomwarem
Obnovení funkčnosti
Tato funkce je určena pro ransomware nultého dne. Ochrana proti ransomware odhalí ransomware, ukončí jeho proces a umístí jej do karantény, což umožní funkci Obnova po útoku ransomwarem obnovit poškozené soubory. Kromě toho ESET Endpoint Security používá reputační systém ESET LiveGrid®, který pomáhá zlepšit celkovou účinnost odhalování škodlivého kódu. ESET navrhl ESET LiveGuard, aby přidal další vrstvu ochrany a vzdoroval novým celosvětovým hrozbám.
Ochrana složek a diskových jednotek
Podporovány jsou pouze jednotky naformátované systémem NTFS. Nejsou podporována žádná výměnná média, například flash disky nebo jiná USB zařízení. Všechny lokální diskové jednotky a složky jsou chráněny. Administrátor může nastavit výjimky z této ochrany. Není možné chránit pouze určitý soubor uvnitř složky. Toho lze částečně dosáhnout definováním přípon souborů, které je třeba chránit.
Dostupnost funkcí v ESET PROTECT (cloud a On-Prem)
Tato funkce je k dispozici pouze v případě, že je na klientském zařízení spravovaném prostřednictvím ESET PROTECT nebo ESET PROTECT On-Prem nainstalován ESET Management Agent 12.0 novější. Tato funkce je určena pouze pro správu (v cloudu ESET PROTECT nebo ESET PROTECT On-Prem ve verzi 12.0 a novější) a není podporována u nespravovaných bezpečnostních aplikací na koncových zařízeních. Po aktivaci se nastavení funkce Obnova po útoku ransomwarem objeví v lokální aplikaci v sekci Rozšířená nastavení > Ochrany > HIPS > Ochrana proti ransomware. Obnova při útoku ransomwarem musí být aktivována vhodným předplatným a politikou se zapnutým nastavením Obnovit soubory po ransomware útoku.
Spouštění zálohování
Ochrana proti ransomware spouští komponentu pro zálohování (Obnova po útoku ransomwarem). Ochrana souborů v reálném čase umožňuje zálohovací komponentě odložit zápisu do chráněných typů souborů a vytvářet kopie za běhu. Zálohování se spustí u procesů, které jsou Ochranou proti ransomware monitorovány a identifikovány jako podezřelé. ESET LiveGrid® musí být zapnutý, aby Ochrana proti ransomware fungovala správně. Ochrana souborů v reálném čase zaručuje, že zálohovací komponenta vždy vytvoří kopii dříve, než dojde k zápisu ransomwarem.
Možnost ručního obnovení
Ruční obnovení se spustí, pokud není zjištěna žádná detekce. Administrátor je informován o tom, že uživatel nebo uživatelé zaznamenali poškozené nebo zašifrované soubory. Administrátor může ručně obnovit soubory během doby uchovávání (ve výchozím nastavení 2 týdny). Zálohované soubory se uchovávají po zvolenou dobu, pokud nejsou nahrazeny z důvodu omezení velikosti úložiště. Změna tohoto nastavení v editoru konfigurace politik ESET PROTECT On-Prem zároveň aktualizuje dobu uchovávání již uložených souborů. Systém využije veškeré dostupné úložiště až do bezpečnostního limitu. Soubory jsou obnoveny přímo do původního umístění. Obnovené soubory budou mít před poslední příponou souboru příponu _restored. Pokud existují starší zálohy, bude odstraněna nejstarší záloha. Po uplynutí doby uchovávání budou záložní soubory odstraněny.
Další informace o tom, jak ručně obnovit soubory pomocí klientské úlohy ESET PROTECT, najdete v Online nápovědě k ESET PROTECT.
Doba uchovávání zálohovaných dat
Dobu uchovávání není třeba nastavovat, protože zálohy jsou zlikvidovány ihned poté, co Ochrana proti ransomware vyhodnotí, že proces není škodlivý. Pokud Ochrana proti ransomware rozpozná proces jako škodlivý, soubory v záloze se obnoví do původních složek.
Omezení zálohování
Zálohování vyžaduje volné místo na lokální systémové jednotce. Proces zálohování se zastaví, pokud je volné místo na jednotce menší než minimální systémové požadavky. Maximální velikost souboru uchovávaného v záloze je 30 MB.
Cesta k úložišti záložních souborů
Záložní soubory se ukládají do složky C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Cloudové úložiště a výběr vlastní složky nejsou podporovány.
Ochrana souborů v záloze
Soubory záloh jsou chráněny pomocí ACL (Access Control List) a technologií Self-Defense.
Odstranění souborů v záloze
Záložní soubory nelze vymazat ani odstranit v nouzovém režimu, ve kterém není aktivní Self-Defense. Jsou odstraněny poté, co je proces vyhodnocen jako neškodný.
Další informace o tom, jak odstranit záložní soubory pomocí klientské úlohy ESET PROTECT, najdete v Online nápovědě k ESET PROTECT.
Ochrana souborů v záloze
Záložní soubory jsou chráněny před zašifrováním ransomwarem.
Stav záložních dat
Soubory ve složce zálohy jsou zašifrované a jsou ve formátu ESET. Původní obsah se obnoví jako kopie s _restored na konci názvu souboru.
Případy, kdy zálohování není možné
Ransomware nemůže změnit uzamčený soubor (například soubor uzamčený jiným procesem, operačním systémem atd.). Nastavení ACL (Access Control List) jsou zachována jako u původního souboru.
Uživatelská oprávnění u obnoveného souboru
Obnovení nemá vliv na dříve nastavená uživatelská oprávnění pro původní soubor, ale lokální uživatelé mohou být omezeni nastavením ACL.
Používání stínové kopie
Služba stínových kopií systému Windows (VSS) je náchylná k útokům. Ransomware dokáže vytvořit zašifrované kopie souborů a původní soubory poté ihned odstranit. Jedná se o běžnou operaci odstranění bez přímé úpravy. Následně mohou být smazány všechny VSS snapshoty (pokud byly vytvořeny) a obnova už nebude možná. Proto ESET používá vlastní proces „copy-on-write“, který je podporován Ochranou souborů v reálném čase.
Oznámení o zálohování
Pokud Ochrana proti ransomware zjistí, že chování souboru není problematické, uživateli ani administrátorovi se nezobrazí žádné oznámení. Úložiště Obnovy po útoku ransomwarem může dočasně narůst a později může být odstraněno.
Rychlost zálohování
Rychlost zálohování závisí na typu pevného disku a rychlosti procesoru, ale měla by být dostatečně rychlá, aby zůstala nepozorována.
Manipulace se zašifrovanými soubory
Soubory zašifrované ransomwarem se uchovávají v původní složce, aby mohly být dále zkoumány. Uživatel je může odstranit, pokud je již nepotřebuje. V případě falešných detekcí (např. souborů upravených vlastním zálohovacím softwarem) můžete tyto soubory použít, protože nebyly zašifrovány a soubory obnovené z naší zálohy jsou pouze kopiemi těchto souborů.
