反加密勒索组件允许您保护通过 SMB/NFS 协议进行网络访问的本地目录中的文件,使其免受远程恶意加密侵扰。
要使用该组件,需要包含相应功能的授权许可。
KESL 容器不支持此功能。
如果启用了反加密勒索,Kaspersky Endpoint Security 将针对受保护设备的共享网络目录中的文件资源扫描远程设备的操作是否存在恶意加密。如果应用程序将远程设备访问共享网络资源的操作视为恶意加密,则应用程序将创建并启用操作系统的防火墙规则,阻止来自受感染设备的网络流量。受感染的设备将被添加到不受信任的设备列表中,并且所有不受信任的设备对共享网络目录的访问都会受到阻止。应用程序将创建一个加密检测事件,其中包含有关受感染设备的信息。
默认情况下,应用程序阻止非可信设备对网络文件资源访问的时间长度为 30 分钟。当阻止时间到期时,应用程序会将受感染的设备从不受信任的设备列表中删除,并自动恢复该设备对网络文件资源的访问权限。
无法使用 iptables 实用程序删除由反加密勒索组件创建的防火墙规则,因为应用程序每分钟都会恢复一组规则。
默认禁用针对远程恶意加密的防护。
您可以启用或禁用针对恶意加密的防护(反加密勒索),也可以配置防护设置:
如果选择了“通知”操作,则在启用反加密勒索时,应用程序仍会扫描远程设备在网络文件共享上的操作,以检查是否存在恶意加密。如果检测到恶意活动,则会创建加密检测事件,但不会阻止受感染的设备。
如果在加密防护范围之外的目录中检测到加密活动(反加密勒索),应用程序不会将操作视为加密。
您可以在命令行中使用管理受阻止设备的命令来查看受阻止的设备列表,并手动解除对这些设备的阻止。除了加密检测事件之外,Kaspersky Security Center 不提供其他工具来监控和管理受阻止的设备。
为了保证反加密组件正常工作,必须在操作系统上安装至少一项服务(Samba 或 NFS)。NFS 服务要求安装 rpcbind 软件包。
反加密勒索组件可以与 SMB1、SMB2、SMB3、NFS3、TCP/UDP 和 IP/IPv6 协议一起正常运行。不支持使用 NFS2 和 NFS4 协议。建议配置服务器设置,以保证不能使用 NFS2 和 NFS4 协议挂载资源。
在将设备活动识别为恶意活动之前,Kaspersky Endpoint Security 不会阻止对网络文件资源的访问。因此,在应用程序检测到恶意活动之前,至少有一个文件将被加密。