Что такое активная защита Acronis

Обновлено: 21.11.2024

В редакции Cyber ​​Backup Standard можно настроить следующие функции Active Protection:

Active Protection для Linux поддерживает следующие настройки: действие при обнаружении, защита сетевой папки и исключения. Защита сетевых папок всегда включена и недоступна для настройки.

Действие при обнаружении

В поле «Действие при обнаружении» выберите действие, которое программа будет выполнять при обнаружении действия программы-вымогателя, а затем нажмите «Готово» .

Вы можете выбрать один из следующих вариантов:

Программное обеспечение создаст оповещение о процессе.

Программное обеспечение выдаст предупреждение и остановит процесс.

Программное обеспечение создаст предупреждение, остановит процесс и отменит изменения файла, используя кэш службы.

Настройка по умолчанию: восстановить с использованием кеша.

Самозащита предотвращает несанкционированное изменение собственных процессов программного обеспечения, записей реестра, исполняемых файлов и файлов конфигурации, а также резервных копий, расположенных в локальных папках. Мы не рекомендуем отключать эту функцию.

Администраторы могут включить самозащиту без включения активной защиты. Значение по умолчанию: включено.

Защита паролем

Защита паролем не позволяет неавторизованным пользователям или программному обеспечению удалить агент для Windows или изменить его компоненты. Эти действия возможны только с паролем, который может предоставить администратор.

Пароль никогда не требуется для следующих действий:

Обновление установки путем локального запуска программы установки

Обновление установки с помощью веб-консоли Cyber ​​Protection

Восстановление установки

Настройка по умолчанию: отключено

Дополнительную информацию о том, как включить защиту паролем, см. в разделе Предотвращение несанкционированного удаления или модификации агентов.

Защита сетевой папки

Настройка Защищать сетевые папки, сопоставленные как локальные диски, определяет, защищает ли Активная защита от локальных вредоносных процессов сетевые папки, сопоставленные как локальные диски.

Этот параметр применяется к папкам, к которым предоставлен общий доступ по протоколам SMB или NFS.

Если файл изначально находился на подключенном диске, его нельзя сохранить в исходное расположение при извлечении из кеша с помощью действия «Восстановить с использованием кеша». Вместо этого он будет сохранен в папку, указанную в этом параметре. Папка по умолчанию — C:\ProgramData\Acronis\Restored Network Files для Windows и Library/Application Support/Acronis/Restored Network Files/ для macOS. Если эта папка не существует, она будет создана. Если вы хотите изменить этот путь, укажите локальную папку. Сетевые папки, включая папки на подключенных дисках, не поддерживаются.

Настройка по умолчанию: включено.

Защита на стороне сервера

Этот параметр определяет, защищает ли Активная защита общие сетевые папки от внешних входящих подключений с других серверов в сети, которые потенциально могут создавать угрозы.

Настройка по умолчанию: отключено.

Настройка доверенных и заблокированных соединений

Чтобы настроить доверенное или заблокированное соединение:

  1. В диалоговом окне "Защита на стороне сервера" выберите вкладку:
    • Чтобы указать подключения, которым разрешено изменять любые данные, выберите вкладку "Доверенные".
    • Чтобы указать соединения, которым не разрешено изменять какие-либо данные, выберите вкладку "Заблокировано".
  2. Введите следующие данные:
    • Имя компьютера и учетная запись компьютера, на котором установлен агент защиты.

Например, MyComputer\TestUser .

Обнаружение процесса криптомайнинга

Этот параметр определяет, обнаруживает ли Active Protection потенциальное вредоносное ПО для криптомайнинга.

Вредоносное ПО для криптомайнинга снижает производительность полезных приложений, увеличивает счета за электроэнергию, может привести к системным сбоям и даже повреждению оборудования из-за злоупотреблений. Чтобы защитить ваши рабочие нагрузки, мы рекомендуем вам добавить вредоносное ПО для криптомайнинга в список вредоносных процессов.

Администраторы могут включить обнаружение процесса криптомайнинга без включения Active Protection. Значение по умолчанию: включено.

Настройки обнаружения процесса криптомайнинга

В поле «Действие при обнаружении» выберите действие, которое программа будет выполнять при обнаружении процесса криптомайнинга, а затем нажмите «Готово» .

Вы можете выбрать один из следующих вариантов:

Программное обеспечение формирует предупреждение о процессе, подозреваемом в криптомайнинге.

Остановить процесс

Программное обеспечение формирует предупреждение и останавливает процесс, подозреваемый в криптомайнинге.

Настройка по умолчанию: Остановить процесс.

Исключения

Чтобы свести к минимуму ресурсы, используемые эвристическим анализом, и исключить так называемые ложные срабатывания, когда доверенная программа считается программой-вымогателем или другим вредоносным ПО, можно задать следующие параметры:

На вкладке "Надежные" вы можете указать:

  • Хэши, которые никогда не будут считаться программами-вымогателями или отслеживаться.
  • Процессы, которые никогда не будут считаться вредоносными программами. Процессы, подписанные Microsoft, всегда считаются доверенными.
  • Папки, в которых изменения файлов не будут отслеживаться.
  • Файлы и папки, в которых запланированная проверка не будет выполняться.

На вкладке "Заблокировано" вы можете указать:

  • Хэши, которые всегда будут заблокированы.
  • Процессы, которые всегда будут заблокированы. Эти процессы не смогут запуститься, пока на компьютере включена Active Protection или Antimalware Protection.

Настройка по умолчанию: по умолчанию исключения не определены.

Для добавления элементов в списки исключений можно использовать подстановочный знак (*).

Вы также можете использовать переменные для добавления элементов в списки исключений. Обратите внимание на следующие ограничения:

В этой статье объясняется, как включить и собрать журналы режима ядра для драйвера file_protector.sys, также называемые журналами отладки File Protector. Обычно они нужны только для устранения проблемы с функцией Active Protection Acronis True Image 2018, когда обычные журналы не позволяют определить первопричину проблемы и устранить ее.

Чтобы получить более подробные журналы драйвера file_protector, выполните следующие действия. Чтобы прекратить запись журналов режима отладки, просто перезагрузите или выключите компьютер.

Введение

В этой статье объясняется, где найти журналы службы и драйвера Active Protection в Windows.

Описание

Журналы службы Acronis Active Protection

Исполняемый файл службы Acronis Active Protection anti_ransomware_service.exe находится в следующем расположении:

64-разрядная версия Windows: "C:\Program Files (x86)\Common Files\Acronis\ActiveProtection\anti_ransomware_service.exe"

32-разрядная версия Windows: "C:\Program Files\Common Files\Acronis\ActiveProtection\anti_ransomware_service.exe"

В этой статье описывается известная проблема с Acronis Active Protection, когда выполняются все четыре условия, перечисленные ниже:

1) Подключен и включен внешний или встроенный картридер для карт памяти (SD, MMC, SM, XD, MS, MS-Pro и др.).

подключено любое другое съемное запоминающее устройство без смонтированной файловой системы, например. съемное запоминающее устройство, которое появляется после установки определенного программного обеспечения принтера.

2) Служба Acronis Active Protection отображается как «Выполняется» в списке служб (откройте меню «Пуск» Windows, введите services.msc и нажмите Enter для доступа к списку). Если статус службы "Остановлен", настоящая статья базы знаний не применяется. Вместо этого следуйте инструкциям по устранению неполадок из этой статьи.

3) Статус "Активная защита отключена" отображается на вкладке "Активная защита".

4) Когда вы пытаетесь включить Активную защиту, щелкнув тумблер, он изменится на три точки ("выполняется" как изображение), а затем вернется обратно в положение ВЫКЛ. Сообщение о состоянии остается "Активная защита отключена".

Введение

В этой статье объясняется, как включить Active Protection, если значок на панели задач отображается серым цветом и при наведении на него курсора мыши появляется сообщение «Acronis Active Protection отключена»:

Решение

Активную защиту можно включить либо из меню значков на панели задач, либо из интерфейса основной программы Acronis True Image.

Симптом

Сообщение «Служба недоступна» отображается в правой нижней части экрана, когда Acronis Tray Monitor не может подключиться к фоновой службе Acronis Active Protection.

Сообщение «Acronis Active Protection неактивно» отображается при наведении курсора мыши на затененный значок в области уведомлений:

В редких случаях может потребоваться отключить активную защиту. Он не мешает и не конкурирует за ресурсы компьютера с другим программным обеспечением безопасности, и вам не нужно отключать его для этого. Но если вы устраняете проблему с Acronis True Image и вам необходимо внести изменения в файлы конфигурации Acronis или параметры реестра, включенная Active Protection не позволит этого сделать. В таком случае выполните следующие действия, чтобы временно отключить его. Когда закончите, не забудьте снова включить Active Protection.

Решение

Также можно отключить только функцию самозащиты, которая защищает файлы и настройки Acronis True Image, или полностью отключить Active Protection.

Отключение функции самозащиты

Acronis True Image 2020

Запустите Acronis True Image, перейдите на вкладку Active Protection и выберите Настройки:

Снимите флажок Защищать файлы резервных копий от программ-вымогателей:

Acronis True Image 2018 и 2019

Запустите Acronis True Image, перейдите на вкладку Active Protection, а затем щелкните Параметры Active Protection в правом нижнем углу окна:

Снимите флажок Защитить файлы Acronis True Image от программ-вымогателей:

Полное отключение Active Protection

Acronis True Image 2020

Вы можете отключить Active Protection из интерфейса Acronis True Image.

Во избежание несанкционированного или случайного отключения службы активную защиту можно отключить только через интерфейс Acronis True Image.

Запустите Acronis True Image, перейдите на вкладку Active Protection и установите переключатель, чтобы отключить Acronis Active Protection:

Acronis True Image 2018 и 2019

Активную защиту можно отключить либо из меню значков на панели задач, либо из интерфейса Acronis True Image.

Метод 1. Щелкните правой кнопкой мыши значок на панели задач и выберите Отключить Acronis Active Protection:

Подтвердите операцию, нажав Выключить:

Серый значок щита в области уведомлений означает, что активная защита не активна:

Способ 2. Либо запустите Acronis True Image, перейдите на вкладку Active Protection и поверните переключатель, чтобы отключить Acronis Active Protection:

В марте 2020 года, когда разразилась пандемия Covid-19, группа вымогателей Ryuk атаковала 10 поставщиков медицинских услуг в США. Банда вымогателей рассчитывала на то, что острая необходимость в доступе к системам и файлам пациентов побудит этих передовых сотрудников быстро заплатить.

От строительной компании требуют 10 млн евро

Глобальная строительная компания Bouygues была взломана программой-вымогателем Maze. Сотни систем были заражены, что повлияло на работу компании по всему миру на несколько дней. Согласно публичным источникам, требование в размере 10 млн евро не было оплачено.

Компания, занимающаяся финансовыми технологиями, вынуждена отключить серверы

Finastra, одна из крупнейших в мире финтех-компаний, подверглась атаке программы-вымогателя, которая вынудила ее временно отключить важные системы. Хотя компания заявляет, что нет доказательств того, что конфиденциальные данные были украдены, атака нарушила обслуживание многих клиентов.

Техническому гиганту грозит рекордный выкуп в размере 20 млн долларов

Немецкий технологический гигант Software AG столкнулся с атакой программы-вымогателя Clop с запросом на 20 млн долларов США, что является одним из самых больших требований в истории программ-вымогателей. Когда переговоры об оплате не увенчались успехом, Клоп начал утечку конфиденциальных корпоративных данных через темную сеть.

Производитель слуховых аппаратов заработал 95 миллионов долларов

Один из крупнейших в мире производителей слуховых аппаратов, компания Demant, в третьем квартале 2019 года потерял невероятные 95 млн долларов из-за заражения программами-вымогателями, что сделало эту атаку одной из самых дорогостоящих за всю историю.

У Pemex требуют 5 миллионов долларов

Компьютерным системам Petroleos Mexicanos дали один месяц, чтобы доставить выкуп в размере 5 миллионов долларов после заражения. К счастью, компании удалось нейтрализовать атаку без оплаты.

компании признают, что не готовы реагировать на атаку

31% компаний

отчитываться о ежедневных кибератаках

это средний выкуп, требуемый от организаций

250 000 долларов США
в час

средняя стоимость незапланированного простоя

Что такое программы-вымогатели?

Программы-вымогатели — это особый и чрезвычайно опасный тип вредоносных программ, используемый киберпреступниками для вымогательства денег у отдельных лиц, организаций и предприятий. Инфекции блокируют доступ к вашим данным до тех пор, пока вы не заплатите выкуп, после чего вы должны восстановить доступ.

На самом деле почти 40 % жертв, которые платят выкуп, никогда не получают обратно свои данные, а 73 % из тех, кто платит, снова становятся жертвами позже, поэтому каждый должен защищаться от программ-вымогателей.

Особо известные типы программ-вымогателей

  • Дхарма
  • Рюк
  • Содинокиби
  • Сеть
  • Лабиринт

Дхарма

Dharma возникла из программы-вымогателя CrySis в 2016 году и в основном распространяется в виде вредоносных вложений в спам-сообщениях с использованием различных уловок, таких как двойные расширения файлов или установочные файлы легитимных программных пакетов. Совсем недавно этот штамм вымогателя также распространялся через открытые RDP-серверы со слабыми или просочившимися паролями. Требование выкупа обычно составляет около 1 биткойна за заражение, при этом много жертв приходится на малый и средний бизнес и в личный сектор. По оценкам ФБР, в 2019 году прибыль от всех версий составила более 8 млн долларов. В марте 2020 года исходный код Dharma был выставлен на продажу на нескольких подпольных форумах, что позволило создать еще больше вариантов.

Программа-вымогатель Ryuk

Рюк якобы связан с спонсируемой государством хакерской группой Lazarus и более ранним вариантом программы-вымогателя Hermes. В отличие от обычных штаммов программ-вымогателей, которые распространяются через массовые спам-кампании и наборы эксплойтов, этот вариант в основном используется в целевых атаках. Ryuk использует трехуровневую модель шифрования, в которой ключи шифрования шифруются с использованием шифрования RSA, а шифрование AES используется для шифрования пользовательских файлов, а также с использованием методов внедрения процессов, чтобы скрыться от антивирусных решений. Рюк заразил очень известные цели и потребовал выкуп порядка миллионов долларов. По оценкам ФБР, ежемесячный доход Рюка составляет около 3 млн долларов США, что свидетельствует о том, насколько успешной была их стратегия.

Sodinokibi Ransomware

Предположительно, Sodinokibi распространяется злоумышленниками, связанными с теми, кто распространял печально известную программу-вымогатель GandCrab. Sodinokibi не заражает компьютеры из Ирана, России и других стран, ранее входивших в состав СССР. Sodinokibi использует интегрированную схему шифрования на эллиптических кривых (ECIES) для генерации и обмена ключами (алгоритм обмена ключами Диффи-Хеллмана на эллиптических кривых). Этот вымогатель использует алгоритмы AES и Salsa20 для шифрования сеансовых ключей и пользовательских файлов соответственно. AES также используется для шифрования сетевых данных, отправляемых на управляющий сервер. Программа-вымогатель обычно требует около 0,32806964 BTC (≈ 2500 долларов США) для восстановления доступа к зашифрованным файлам.

Сеть

Обнаруженный GrujaRS, NetWalker (также известный как Mailto) представляет собой обновленную версию программы-вымогателя Kokoklock. Он требует высокой цены выкупа после компрометации сетей и шифрования всех подключенных устройств Windows. Киберпреступники недавно начали спам-кампанию по электронной почте, связанную с коронавирусом, для распространения программы-вымогателя NetWalker. В конце марта 2020 г. группа запустила партнерскую кампанию по предоставлению NetWalker в качестве программы-вымогателя как услуги (RaaS).

Maze, также ранее известная как ChaCha, впервые появилась на сцене программ-вымогателей в 2019 году. Группа активна по всему миру и распространяет вредоносное ПО различными способами, включая спам по электронной почте, наборы эксплойтов и подключения к удаленному рабочему столу со слабыми паролями. Программа-вымогатель Maze довольно сложна и содержит различные приемы антианализа, такие как завершение работы отладчиков и инструменты обратного проектирования. Maze был одним из первых крупных семейств программ-вымогателей, опубликовавших украденные данные, когда жертвы не заплатили требование о выкупе. В отличие от многих других, группа, стоящая за программой-вымогателем Maze, очень активна в социальных сетях, насмехаясь над исследователями и журналистами.

Связь программы-вымогателя с криптоджекингом

Киберпреступники заражают компьютеры Windows и Linux вредоносными программами, которые захватывают вычислительные ресурсы для майнинга криптовалют без ведома пользователя. Криптоджекинг не только снижает производительность компьютера, увеличивает затраты на электроэнергию и повреждает оборудование. Инфекция обычно внедряет программу-вымогатель, чтобы максимизировать рентабельность вредоносного ПО.

К счастью, Acronis автоматически обнаруживает и останавливает как программы-вымогатели, так и злоумышленников в режиме реального времени, превосходя многие ведущие решения для обеспечения кибербезопасности конечных точек.

Наши решения для киберзащиты сохранят ваши данные

Киберзащита домашнего офиса

Единственное решение, изначально объединяющее кибербезопасность, защиту данных и управление для защиты конечных точек, систем и данных. Интеграция и автоматизация обеспечивают непревзойденную защиту, повышая производительность и снижая совокупную стоимость владения.

Проверенная защита от программ-вымогателей

Независимые лаборатории, аналитики по кибербезопасности и отраслевые группы согласны с тем, что Acronis предлагает наилучшую защиту от современных киберугроз.

Не будьте жертвой

Как решения Acronis защищают ваши данные, приложения и системы

Используя искусственный интеллект, Acronis отслеживает вашу систему в режиме реального времени, изучая стек процессов, чтобы выявить действия, демонстрирующие модели поведения, которые обычно наблюдаются при атаках программ-вымогателей и криптоджекинга.

Если процесс пытается зашифровать ваши данные или внедрить вредоносный код, Acronis немедленно остановит его и немедленно уведомит вас об обнаружении чего-то подозрительного. Затем вы можете заблокировать действие или разрешить его продолжение.

Если какие-либо файлы будут изменены или зашифрованы до того, как атака будет остановлена, решения Acronis Cyber ​​Protection автоматически восстановят эти файлы из резервной копии или кэша, почти сразу нейтрализуя последствия любой атаки.

Современная киберзащита должна обеспечивать безопасность, доступность, конфиденциальность, подлинность и безопасность всех данных (известных как SAPAS). Только Acronis объединяет все необходимые технологии — гибридное облако, искусственный интеллект, шифрование и блокчейн — в одном простом, эффективном и безопасном решении.

Защита отрасли

Гордый член AMTSO

Являясь частью Организации по стандартам тестирования на вредоносное ПО (AMTSO), Acronis помогает разрабатывать надлежащие стандарты для тестирования решений по обеспечению безопасности, и мы участвуем в тестах, соответствующих стандартам AMTSO

Участник машинного обучения в VirusTotal

Членство в AMTSO позволило компании Acronis внести свой механизм машинного обучения в VirusTotal, что позволило всем пользователям по всему миру воспользоваться преимуществами нашей технологии для обнаружения различных онлайн-угроз данным.

«Благодаря таким инновационным функциям, как Acronis Active Protection от программ-вымогателей, мы внедряем самую мощную киберзащиту на рынке сегодня».

Ищете помощь?

Часто задаваемые вопросы

Программы-вымогатели – это тип вредоносного ПО, используемого киберпреступниками для вымогательства денег у отдельных лиц, организаций и предприятий. Несмотря на то, что существует много типов программ-вымогателей, типичная атака шифрует данные жертвы, а затем предоставляет пользователю сообщение с требованием выкупа — обычно в виде цифровой валюты, такой как биткойны или монеро.

После выплаты выкупа преступники должны предоставить ключ дешифрования, хотя важно отметить, что почти 40% жертв, которые платят выкуп, никогда не получают доступ к своим данным.

Программы-вымогатели обычно распространяются через электронные письма и зараженные веб-сайты. Большая часть программ-вымогателей распространяется с использованием метода заражения вредоносным ПО, известного как «фишинг», когда вы получаете электронное письмо, которое выглядит так, как будто оно отправлено кем-то, кого вы знаете или кому доверяете. Идея состоит в том, чтобы заставить вас открыть вложение или щелкнуть ссылку в электронном письме, после чего программа-вымогатель внедряется в вашу систему.

Бдительность и избегание подозрительных ссылок или вложений — это первая защита, но киберпреступники умеют обманывать даже самых осторожных людей. Очень важно иметь программное обеспечение для защиты от программ-вымогателей, защищающее вашу систему.

К сожалению, традиционные антивирусные решения, которые ищут известные штаммы программ-вымогателей, не могут справиться с современными постоянно развивающимися угрозами.Нужна ли вам защита от программ-вымогателей для устройств Windows 10 или Mac, обязательно используйте технологию защиты от программ-вымогателей, которая обнаруживает атаки на основе подозрительных действий, поскольку защита на основе поведения намного лучше выявляет и останавливает атаки нулевого дня

Если вы стали жертвой программ-вымогателей, удалить их будет сложно. По сути, у вас есть три варианта.

Во-первых, вы можете восстановить систему из резервной копии. Однако вам необходимо убедиться, что ваша резервная копия не была подделана, поскольку новые штаммы программ-вымогателей нацелены на файлы резервных копий и программное обеспечение для резервного копирования.

Второй вариант — переформатировать жесткий диск, стереть все данные (включая инфекцию) и переустановить операционную систему и приложения. Однако без резервной копии вы потеряете все свои личные данные и по-прежнему будете сталкиваться с угрозой будущих атак программ-вымогателей.

Наконец, вы можете заплатить выкуп и надеяться, что ключ расшифровки сработает и ваши данные будут восстановлены. Просто помните, что 40 % тех, кто платит, никогда не восстанавливают свои данные, поэтому гораздо лучше предотвратить атаку до того, как будет нанесен ущерб.

Как правило, те, кто разрабатывает и распространяет программы-вымогатели, являются либо организованными преступными группировками, либо субъектами национального государства.

Мотивом организованных преступников является вымогательство как можно большего количества денег. Все чаще они распространяют свои вредоносные программы в виде наборов программ-вымогателей, которые может использовать любой, даже если у них нет особых технических знаний. Эта модель программы-вымогателя как услуги (RaaS) быстро распространяет свое программное обеспечение. Преступники содействуют платежам, расшифровке и другим оперативным требованиям, а также берут процент от собранного выкупа.

Национальные государства, использующие программы-вымогатели, как правило, являются странами-изгоями, которые часто находятся под строгими санкциями международного сообщества. Они используют программы-вымогатели как для сбора денег с жертв, так и для подрыва экономического, общественного и государственного благосостояния своих соперников.

Учитывая широкий спектр семейств программ-вымогателей и отдельных штаммов в этих семействах, способы расшифровки данных после атаки различаются.

В некоторых случаях в Интернете доступны пакеты программного обеспечения для расшифровки определенных видов программ-вымогателей. Они могут быть созданы либо потому, что штамм был тщательно изучен с момента его появления, либо потому, что исследователь нашел уязвимость в шифровании, используемом преступниками. Если вы можете определить тип программы-вымогателя, зашифровавшей ваши файлы, вы можете посмотреть, доступен ли расшифровщик.

Однако во многих случаях популярные штаммы программ-вымогателей имеют настолько надежное шифрование, что расшифровка файлов невозможна, и в большинстве случаев для современных семейств программ-вымогателей нет вариантов расшифровки.

Лучше всего восстановить систему из защищенной резервной копии, которая восстановит ваши файлы и, в большинстве случаев, удалит вредоносное ПО, чтобы исключить риск повторного заражения.

Убедитесь, что у вас есть поведенческий блокировщик программ-вымогателей, который также предотвратит будущие заражения.

Читайте также: