本帖最后由 驭龙 于 2025-3-27 16:54 编辑
我好多天没发帖了,昨天看到这个信息的时候已经是很晚了,所以就没有发帖,现在抽空发一下这个RR的技术细节,这是官方公布的内容,有兴趣的可以去看原文。
众所周知,EES 12.0添加了特有的ESET Ransomware Remediation功能,这是需要高级版EES授权才能开启的特供功能,昨天早些时候的ESET 2025世界大会上,ESET公布了ESET RR的技术细节,按照ESET的说法是,任何可疑文件启动以后访问文件时,Ransomware Shield也就是RS与RR协调工作,在程序打开或者写入文件的过程中RR部分开始备份文件到隐蔽的安全区域,RR对这运行程序进行控制和操作,然后RS分析启动的程序有没有勒索软件的行为,如果RS判定启动的程序是勒索软件,RR开始阻止程序,同时回滚之前备份的被该程序打开和读取的文件,以及后续的收尾工作。
如果RS判定启动的应用程序是干净的正常应用程序,那么,RR将自动丢弃之前该程序打开和读取的文件相关备份,并且通知用户。
上面就是ESET的RR基本技术原理了,下面是官方的RR工作流程图。
这里是官方原文的英文介绍:
As ransomware attacks increase in sophistication, threat actors seek to undermine nearly all areas of business security and stability. One well-known and -used attack is encryption, which prevents you from accessing your device and the data stored on it. Causing costly process disruption, and ultimately forcing firms to pay to decrypt their systems, threat actors often target system backups, such as Volume Shadow Copy, by immediately deleting or corrupting them. This makes recovery nearly impossible and drives up remediation costs.
Building on ESET LiveSense, ESET’s next-gen Ransomware Remediation feature works in concert with Ransomware Shield to immediately create backups until the system confirms whether the suspicious activity is malicious or benign. If malicious, Ransomware Shield will kill the process and roll back the files from the newly created secure backups. If benign, the backups created can be discarded. Unlike other solutions, Ransomware Remediation has its own protected storage section on the drive, where files cannot be modified, corrupted, or deleted by the attacker. This differentiator actively solves one of the most common failings of regular backups during a ransomware attack. As a free addition for customers signed up for the ESET PROTECT Advanced tier and above, Ransomware Remediation is available for Windows-based systems.
元宝AI翻译:
随着勒索软件攻击的复杂化加剧,威胁行为体正试图破坏企业安全与稳定的几乎所有领域。一种广为人知的攻击手段是加密技术,它会阻止用户访问设备及存储的数据,导致代价高昂的业务中断,并最终迫使企业支付赎金以解密系统。威胁行为体通常会立即删除或破坏系统备份(如卷影副本),这使得恢复几乎不可能,并大幅增加修复成本。
基于ESET LiveSense技术,ESET的下一代勒索软件修复功能与勒索软件防护盾协同工作,在系统确认可疑活动是恶意或良性之前立即创建备份。若检测到恶意行为,勒索软件防护盾将终止进程并从新创建的安全备份中回滚文件;若为良性,则可丢弃备份。与其他解决方案不同,勒索软件修复功能在驱动器上设有独立受保护的存储区域,文件无法被攻击者修改、损坏或删除,这一差异化优势有效解决了常规备份在勒索软件攻击中的常见缺陷。作为ESET PROTECT Advanced及以上层级客户的免费附加功能,该修复功能支持基于Windows的系统。
ESET PROTECT平台通过多层防护技术(包括端点防护、云沙箱分析和主动威胁防御)为企业提供全面保护,其PROTECT Advanced版本还支持全盘加密和邮件安全防护,可有效应对零日威胁。用户实测显示,该方案策略管理灵活且误报率低,云沙箱技术能快速分析可疑文件,显著提升安全运营效率。
官方曾经说过,RR未来会提供给家庭用户的ESET Home产品中,当然,我猜测应该也就是ESSP特供吧,哈哈,我不太相信按照ESET的性格,会把RR提供给EIS用户。
我不清楚RR什么时候融入到Home产品中,就看最近的下一个ESET 内测版18.2会不会有RR了,如果没有就只能等年底的19.0大版本更新,一切以官方消息为准吧。
顺便发个EES 12.0启用RR的截图,实际体验上非常流畅,完全没有影响系统响应速度,也没有拖慢系统,是十分优秀的功能,并没有像趋势科技那样影响系统响应速度的回滚功能。
PS:真的希望下个月的18.2内测版就可以接入RR功能啊,那样就弥补了ESET对勒索软件不给力的问题,如果配合RS的TDT硬件级安全检测技术,那么,ESET对付勒索软件的能力将大幅提升。
说到TDT,昨天晚上,TDT一年多没更新的EM059也就是TDT特征库居然更新了,真的让我意想不到。
今天就到这里了,我继续打游戏去了,希望本帖让大家了解到ESET还是在有条不紊,按部就班的慢慢更新他们的保护技术。 |
发表于 
楼主
