Herstel na ransomware

URL van huidige artikel kopiëren Delen via e-mail

Dit artikel (PDF) Volledige documentatie (PDF)

Functionaliteit herstellen

De functie is ontworpen voor zero-day ransomware. Ransomware Shield detecteert de ransomware, beëindigt het proces en plaatst het in quarantaine. Met Herstel na ransomware wordt vervolgens een back-up van beschadigde bestanden gemaakt en worden deze bestanden hersteld. Daarnaast maakt ESET Endpoint Security gebruik van het ESET LiveGrid®-reputatiesysteem dat helpt om de algemene efficiëntie tegen malware te verbeteren. ESET is ontworpen ESET LiveGuard om een extra beveiligingslaag toe te voegen en de gevolgen van nieuwe bedreigingen te beperken.

Map- en schijfbeveiliging

Alleen NTFS-schijven worden ondersteund. Verwisselbare media, zoals flashstations of andere USB-apparaten, worden niet ondersteund. Alle lokale stations en mappen zijn beveiligd. De beheerder kan uitsluitingen voor deze beveiliging definiëren. Het is niet mogelijk om alleen een specifiek bestand in een map te beveiligen. U kunt wel bestandsextensies definiëren die moeten worden beveiligd.

Beschikbaarheid van functies in ESET PROTECT (cloud en lokaal)

De functie is alleen beschikbaar als ESET Management Agent 12.0 en hoger is geïnstalleerd op een clientcomputer die wordt beheerd in de cloud met ESET PROTECT of ESET PROTECT On-Prem 12.0 en hoger. Deze functie is alleen beheerd (in de cloud met ESET PROTECT of ESET PROTECT On-Prem 12.0 en hoger) en wordt niet ondersteund voor beveiligingsproducten voor onbeheerde endpoints. Na activering worden de instellingen voor Herstel na ransomware weergegeven in het lokale pad Geavanceerde instellingen > Beveiliging > HIPS > Ransomware Shield. Herstel na ransomware moet worden geactiveerd met het juiste abonnement en de instelling Bestanden herstellen na een ransomware-aanval moet zijn ingeschakeld voor het beleid.

Triggers voor back-ups

Ransomware Shield activeert het back-uponderdeel (Herstel na ransomware). En door Realtimebeveiliging van bestandssysteem kan het back-uponderdeel schrijfbewerkingen naar beveiligde bestandstypen uitstellen en ondertussen kopieën maken. De back-up wordt gestart voor processen die met Ransomware Shield worden bewaakt en als verdacht zijn aangemerkt. Ransomware Shield werkt alleen goed als ESET LiveGrid® is ingeschakeld. Realtimebeveiliging van bestandssysteem zorgt ervoor dat het back-uponderdeel altijd een kopie kan maken voordat de gevraagde schrijfbewerking door ransomware kan plaatsvinden.

Optie voor handmatig herstel

Handmatig herstel wordt geactiveerd wanneer er geen detectie is gevonden. De beheerder krijgt een melding dat gebruikers(s) beschadigde of versleutelde bestanden hebben waargenomen. De beheerder kan bestanden handmatig herstellen tijdens de bewaartermijn (standaard 2 weken). Bestanden waarvan een back-up is gemaakt, worden bewaard gedurende de geselecteerde periode, tenzij ze worden vervangen vanwege opslagbeperkingen. Als u deze instelling wijzigt in de beleidsconfiguratie-editor van ESET PROTECT On-Prem, wordt ook de bewaartermijn van reeds opgeslagen bestanden bijgewerkt. Automatisch wordt alle beschikbare opslag gebruikt tot aan een bepaalde veiligheidslimiet. Bestanden worden direct hersteld op hun oorspronkelijke locatie. Herstelde bestanden hebben het achtervoegsel _restored vóór de laatste bestandsextensie. Als er oudere back-ups bestaan, wordt de oudste back-up verwijderd. Na de bewaartermijn worden back-upbestanden verwijderd.

Voor meer informatie over hoe u bestanden handmatig kunt herstellen met de ESET PROTECT-clienttaak raadpleegt u de ESET PROTECT Online-Help.

Bewaarperiode voor back-upgegevens

Er is geen bewaarperiode nodig omdat back-ups onmiddellijk worden verwijderd nadat Ransomware Shield heeft vastgesteld dat het proces niet schadelijk is. Als Ransomware Shield een proces detecteert en als schadelijk beschouwt, worden de bestanden in de back-up teruggezet naar hun oorspronkelijke mappen.

Beperkingen voor back-ups

Voor het maken van een back-up is vrije ruimte op het lokale systeemstation vereist. Het back-upproces wordt gestopt als de vrije ruimte op het volume lager is dan de minimale systeemvereisten. De maximale grootte van een bestand dat in back-up wordt bewaard, is 30 MB.

Opslagpad voor back-upbestanden

Back-upbestanden worden opgeslagen in C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Cloudopslag en aangepaste selectie van mappen worden niet ondersteund.

Beveiliging van bestanden in de back-up

De back-upbestanden worden beveiligd door Zelfverdediging en ACL (Access Control List, toegangsbeheerlijst).

Verwijderen van bestanden in back-up

Back-upbestanden kunnen niet worden gewist of verwijderd, tenzij in de veilige modus, waar Zelfverdediging niet actief is. Ze worden verwijderd nadat het proces is aangemerkt als niet-schadelijk.

Voor meer informatie over hoe back-upbestanden kunnen worden verwijderd met de ESET PROTECT-clienttaak raadpleegt u de ESET PROTECT Online-Help.

Beveiliging van bestanden in de back-up

Back-upbestanden zijn beveiligd tegen versleuteling door ransomware.

Status van back-upgegevens

Bestanden in de back-upmap zijn versleuteld en hebben het ESET-bestandstype. Wanneer de oorspronkelijke inhoud is hersteld, wordt deze teruggezet als een kopie met _restored aan het einde van de bestandsnaam.

Gevallen waarin de back-up niet mogelijk is

Ransomware kan een vergrendeld bestand niet wijzigen (bijvoorbeeld vergrendeld door een ander proces, besturingssysteem, enz.). De instellingen van de toegangsbeheerlijst (ACL) blijven behouden voor het oorspronkelijke bestand.

Gebruikersbevoegdheden voor een bestand na herstel

Het herstel heeft geen invloed op eerder gedefinieerde gebruikersbevoegdheden voor het oorspronkelijke bestand, maar lokale (beperkte) gebruikers kunnen te maken krijgen met beperkingen die zijn gedefinieerd door ACL.

Gebruik van schaduwkopie

Windows Shadow Copy Service (VSS) is ontvankelijk voor aanvallen. Ransomware kan versleutelde kopieën van bestanden maken en de oorspronkelijke meteen verwijderen. Dit is een normale verwijderbewerking zonder directe wijziging. Vervolgens kunnen alle snapshots van VSS (indien gemaakt) worden genegeerd en is er geen herstel mogelijk. Daarom maakt ESET gebruik van een eigen copy-on-write-proces (kopiëren bij schrijven) dat wordt ondersteund door Realtimebeveiliging van bestandssysteem.

Gebruikersmeldingen voor back-ups

Als Ransomware Shield vaststelt dat het bestandsgedrag niet problematisch is, worden er geen meldingen weergegeven voor de gebruiker of beheerder. De opslag van Herstel na ransomware kan tijdelijk toenemen en later worden verwijderd.

Back-upsnelheid

De back-upsnelheid is afhankelijk van het type harde schijf en de CPU-snelheid, maar moet snel genoeg zijn om onopgemerkt te blijven.

Verwerking van versleutelde bestanden

Bestanden die door ransomware zijn versleuteld, worden in de oorspronkelijke map bewaard voor verder onderzoek en kunnen door de gebruiker worden verwijderd als ze niet meer nodig zijn. In het geval van vals-positieven (bijv. bestanden die zijn gewijzigd door aangepaste back-upsoftware) kunt u deze bestanden gebruiken omdat ze niet zijn versleuteld en bestanden die zijn hersteld vanuit onze back-up, zijn alleen kopieën van die bestanden.

Wat zijn de verschillen tussen ESET LiveGrid® en ESET LiveGuard?

Voor welke abonnementniveaus wordt de activering van Herstel na ransomware ondersteund?

˄˅