勒索软件保护
勒索软件保护使您能够有效地检测、阻止和预防勒索软件攻击。TSplus Advanced Security 在检测到您会话中的勒索软件时立即做出反应。它具有两者的功能。 静态和行为分析 :
- 这 静态分析 使软件在扩展名更改时立即做出反应,
- 这 行为分析 查看程序如何与文件交互并检测新型勒索软件。
您可以通过点击“启用勒索软件保护”选项卡上的“启用勒索软件保护”来启用它:
学习期
启用勒索软件保护功能后,学习期会自动激活。在学习期间,勒索软件保护功能检测到的所有程序将被视为误报,并能够恢复其执行。被检测为误报的程序将自动添加到允许程序列表中。
此功能允许在生产服务器上配置勒索软件保护,而不会干扰其活动。我们建议从5天的学习期开始,以识别所有合法的业务应用程序。
如果您停止学习周期,它将停用勒索软件保护。点击“勒索软件保护已禁用”按钮以重新激活学习周期。
勒索软件保护行动
它快速扫描您的磁盘,并显示负责的文件或程序,并提供受感染项目的列表。TSplus Advanced Security 自动停止攻击并隔离程序以及在其干预之前加密的文件。
只有管理员可以将它们列入白名单,方法是在底部输入所需程序的路径,然后点击“添加”:
勒索软件保护报告
TSplus Advanced Security 通过在早期阶段移除勒索软件,防止企业发生灾难性事件。
管理员可以访问有关攻击来源和正在运行的进程的信息,因此可以了解如何预防这些威胁。
注意 勒索软件保护观察程序如何与系统和个人文件交互。为了确保更高水平的保护,勒索软件保护在勒索软件通常开始攻击的关键文件夹中创建诱饵文件。因此,用户的桌面和文档文件夹以及其他位置可能会出现一些隐藏文件。当它检测到恶意行为时,会立即停止勒索软件(或询问登录用户是否为管理员)。勒索软件保护使用纯行为检测技术,不依赖于恶意软件签名,从而能够捕捉尚不存在的勒索软件。
您可以配置您的SMTP设置,以便TSplus Advanced Security向您发送电子邮件警报,以突出重要的安全事件,方法是点击Ransomware激活按钮下方的按钮:
输入您的 SMTP 主机名、端口,并勾选使用 SSL 选项,如果您希望使用 SSL,请将端口从 25 更改为 465。
输入SMTP用户名和密码,以及发件人和收件人地址。
电子邮件设置可以通过在保存SMTP设置时发送测试来验证。
快照
勒索软件保护拍摄的快照可在快照选项卡下查看:
可以通过点击相应的按钮刷新列表。每个元素都可以恢复或删除。
隔离
隔离的程序可以在隔离选项卡下查看:
潜在的不需要程序会被无限期隔离,直到您决定采取行动。
通过这种方式,Advanced Security 确保您的机器安全,同时让您可以根据需要管理隔离项。
这在您需要检索被中和的文件或程序时可能会很有用。
此决定由您自行承担风险。
您还可以直接从位于高级安全安装目录中的隔离文件夹中永久删除您选择的任何文件或程序。
每个元素都可以恢复或删除。
忽略的文件不会用于检测可能的恶意行为,并且在修改时不会被保存。这个想法是排除对大型或不相关文件(例如日志文件)的任何操作。
- 系统
- dll
- exe
- 临时
- ~tmp
- 温度
- 缓存
- lnk
- 1
- 2
- 3
- 4
- 5
- 日志1
- LOG2
- customDestinations-ms
- 日志
- wab~
- vmc
- 虚拟硬盘
- vhdx
- 虚拟桌面基础架构
- vo1
- vo2
- vsv
- vud
- iso
- 损坏
- 稀疏图像
- 柜子
- msi
- mui
- 下载_
- 维姆
- 操作系统
- o
- qtch
- ithmb
- vmdk
- 虚拟内存
- vmsd
- vmsn
- vmss
- vmx
- vmxf
- 菜单数据
- 应用图标
- 应用信息
- pva
- pvs
- pvi
- pvm
- fdd
- hds
- 黑暗
- 内存
- 非易失性随机存取存储器
- 硬盘
- pk3
- pf
- trn
- automaticDestinations-ms
备份文件扩展名的注意事项
保存修改文件所用的文件扩展名是: 快照。 该驱动程序禁止对这些文件进行任何修改或删除操作,除非由TSplus Advanced Security服务执行。停止服务会删除备份的文件。要手动删除这些文件,您必须暂时卸载驱动程序。
备份文件配置
默认情况下,保存文件的目录位于TSplus Advanced Security的安装目录中,称为“快照”。然而,可以为此目录定义另一个位置。这可以允许管理员根据需要定义位于更快的磁盘(SSD)或更大磁盘上的目录。备份目录路径不得为UNC路径,形式为:
\\
将备份工具添加到白名单
我们建议在白名单中添加备份工具。
