ESET Endpoint Security – Innehållsförteckning

Åtgärd mot ransomware

Kopiera den aktuella artikelns länk Dela via e-post

Den här artikeln (PDF) Hela dokumentationen (PDF)

Återställ funktionalitet

Denna funktion är utformad för dagnoll-ransomware. Skydd mot ransomware upptäcker ransomware, avslutar dess processflöde och sätter den i karantän, vilket tillåter Åtgärder mot ransomware att säkerhetskopiera och återställa skadade filer. ESET Endpoint Security använder dessutom ESET LiveGrid® ryktessystem som hjälper till att förbättra den övergripande effektiviteten mot skadlig kod. ESET har utvecklat ESET LiveGuard för att skapa ytterligare ett lager av skydd och för att motverka nya hot.

Mapp- och enhetsskydd

Endast NTFS-formaterade enheter stöds. Flyttbara medier som USB-minnen eller externa hårddiskar stöds inte. Alla lokala enheter och mappar är skyddade. Administratören kan välja att göra undantag från det här skyddet. Det är inte möjligt att endast skydda en specifik fil i en mapp. Detta kan till viss del hanteras genom att definiera filändelser som behöver skyddas.

Tillgängliga funktioner i ESET PROTECT (molnet och lokalt)

Funktionen är endast tillgänglig om ESET Management Agent 12.0 och senare är installerad på en klientdator som hanteras av molnet ESET PROTECT eller ESET PROTECT On-Prem 12.0 och senare. Den här funktionen hanteras endast (av molnet ESET PROTECT eller ESET PROTECT On-Prem 12.0 och senare) och stöds inte för ohanterade endpoint-säkerhetsprodukter. Efter aktiveringen visas inställningarna för åtgärder mot ransomware i det lokala Avancerade inställningar > Skydd > HIPS > Skydd mot ransomware. Åtgärder mot ransomware måste vara aktiverat med ett lämpligt abonnemang och policyn måste vara inställd till Återställ filer efter en ransomware-attack.

Utlösare för säkerhetskopiering

Skydd mot ransomware aktiverar säkerhetskopieringskomponenten (Åtgärder mot ransomware). Skydd av filsystemet i realtid gör det möjligt för säkerhetskopieringskomponenten att fördröja skrivåtgärder till skyddade filtyper och att löpande skapa kopior. Säkerhetskopieringen startas för processer som bevakas av Skydd mot ransomware och identifieras som misstänkta. ESET LiveGrid® måste vara aktiverat för att Skydd mot ransomware ska fungera korrekt. Skydd av filsystemet i realtid garanterar att säkerhetskopieringskomponenten alltid kan skapa en kopia innan en begärd skrivoperation från ransomware kan genomföras.

Manuellt återställningsalternativ

Manuell återställning aktiveras när ingen detektering identifieras. Administratören meddelas om att användare har observerat skadade eller krypterade filer. Administratören kan manuellt återställa filer under lagringsperioden (2 veckor som standard). Säkerhetskopierade filer lagras under den valda tiden, om de inte ersätts på grund av lagringsbegränsningar. Att ändra den här inställningen i policykonfigurationsredigeraren för ESET PROTECT On-Prem uppdaterar även lagringstiden för redan lagrade filer. Systemet kommer att använda all tillgänglig lagring upp till en säkerhetsgräns. Filerna återställs direkt till sin ursprungliga plats. Återställda filer kommer att ha suffixet _restored före sista filändelsen. Om äldre säkerhetskopior finns kommer den äldsta säkerhetskopian att tas bort. Efter lagringsperioden kommer säkerhetskopior att raderas.

För mer information om hur man manuellt återställer filer med ESET PROTECT-klientuppgiften, se ESET PROTECT-onlinehjälpen.

Lagringsperiod för säkerhetskopierade data

Det är inte nödvändigt med någon lagringsperiod eftersom säkerhetskopiorna raderas omedelbart när Skydd mot ransomware har fastställt att det inte rör sig om en skadlig process. Om Skydd mot ransomware upptäcker att processen är skadlig så återställs filerna i säkerhetskopian till sina ursprungliga mappar.

Begränsningar för säkerhetskopiering

Säkerhetskopiering kräver ledigt utrymme på den lokala hårddisken. Säkerhetskopieringen stoppas om utrymmet på disken understiger systemets minimikrav. Den maximala storleken för en lagrad säkerhetskopia är 30 MB.

Sökväg för lagring av säkerhetskopieringsfil

Säkerhetskopior lagras i C:\ProgramData\ESET\ESET Security\RR\backup\{GUID}. Det är inte möjligt att lagra i molnet eller välja egna mappar för lagring.

Skydd av säkerhetskopierade filer

Självförsvar och Åtkomstkontrollistan (ACL) skyddar säkerhetskopiorna.

Radering av säkerhetskopierade filer

Om du inte använder felsäkert läge och Självförsvar inte är aktiverat kan du inte radera eller ta bort säkerhetskopierade filer. De tas bort när processen bedöms vara ofarlig.

För mer information om hur man tar bort säkerhetskopieringsfiler med ESET PROTECT-klientuppgiften, se ESET PROTECT-onlinehjälpen.

Skydd av säkerhetskopierade filer

Säkerhetskopior är skyddade från kryptering av ransomware.

Status för säkerhetskopierade data

Filerna i säkerhetskopieringsmappen är krypterade och är av typen ESET-filer. När det ursprungliga innehållet återställs återskapas det som en kopia med _restored i slutet av filnamnet.

Fall då säkerhetskopiering inte är möjligt

Ransomware kan inte ändra en låst fil (om den till exempel har låsts av en annan process, ett annat operativsystem eller liknande). Inställningarna för Åtkomstkontrollistan (ACL) behålls för den ursprungliga filen.

Användarbehörigheter för en fil efter återställning

Återställningen påverkar inte tidigare angivna användarbehörigheter för originalfilen, men lokala (begränsade) användare kan ha begränsningar som definieras i ACL.

Användning av skuggkopiering

Windows tjänst för skuggkopiering (VSS) är sårbar för attacker. Ransomware kan skapa krypterade kopior av filer och radera originalen direkt därefter. Detta är en vanlig borttagningsåtgärd som inte kräver några direkta ändringar. Därefter kan alla ögonblicksbilder i VSS (om de har skapats) raderas och ingen återställning är möjlig. Därför använder ESET en egenutvecklad process för att kopiera direkt vid skrivning som kompletteras med Skydd av filsystemet i realtid.

Användarmeddelanden för säkerhetskopieringar

Om Skydd mot ransomware fastställer att filens beteende inte är problematiskt visas inga meddelanden för användaren eller administratören. Lagringsutrymmet för Åtgärder mot ransomware kan tillfälligt öka och senare raderas.

Hastighet på säkerhetskopiering

Hur snabbt säkerhetskopieringen går beror på typen av hårddisk och CPU-hastighet, men det bör gå tillräckligt snabbt för att det inte ska märkas av.

Hantering av krypterade filer

Filer som krypterats av ransomware lagras i originalmappen för vidare utredning och kan raderas av användaren om de inte längre behövs. Om falska positiva resultat uppstår (t.ex. om filer har ändrats av en anpassad programvara för säkerhetskopiering) kan dessa filer fortfarande användas eftersom de inte har krypterats och eftersom filer som återställs från våra säkerhetskopior endast är kopior av dessa filer.

Vilka skillnader finns mellan ESET LiveGrid® och ESET LiveGuard?

Vilka abonnemangsnivåer har stöd för aktivering av Åtgärder mot ransomware?

˄˅