Protection contre les rançongiciels (ransomwares)

La protection contre les rançongiciels permet de DÉTECTER, BLOQUER et PRÉVENIR de manière efficace les attaques de rançongiciel. TS2log Security réagit dès qu'il détecte un rançongiciel sur votre session. Il possède une analyse à la fois statique et comportementale :

• L'analyse statique permet au logiciel de réagir immédiatement quand un nom d'extension est changé,
• L'analyse comportementale examine comment un programme va interagir avec les fichiers et détecter une nouvelle souche de rançongiciel.
  

Vous pouvez l'activer en cliquant sur "Activer la protection contre les rançongiciels" dans l'onglet "Protection contre les rançongiciels" :

Période d'apprentissage

Après avoir activé la fonction de protection contre les rançongiciels, la période d'apprentissage est automatiquement activée. Durant cette période d'apprentissage, tous les programmes détectés par la fonction de protection contre les rançongiciels sont considérés comme de faux positifs et peuvent reprendre leur exécution. Les programmes détectés comme faux positifs sont automatiquement ajoutés à la liste des programmes autorisés.

Cette fonctionnalité permet de configurer la protection contre les rançongiciels sur un serveur de production sans perturber son activité. Nous vous recommandons de commencer par une période d'apprentissage de 5 jours pour identifier toutes les applications commerciales légitimes.

Si vous arrêtez la période d'apprentissage, cela désactivera la protection contre les rançongiciels. Cliquez sur le bouton "La protection contre les rançongiciels est désactivée" pour réactiver la période d'apprentissage.

Action de protection contre les rançongiciels

Elle permet d'analyser rapidement vos disques, d'afficher le(s) fichier(s) ou programme(s) responsable(s) et en plus de fournir une liste des éléments infectés.
TS2log Security arrête automatiquement l'attaque et met en quarantaine le(s) programme(s) ainsi que le(s) fichier(s) cryptés avant intervention de l'attaque.

Seul l'administrateur peut les mettre en liste blanche, en entrant le chemin du programme souhaité sur la ligne du bas et en cliquant sur "Ajouter" :

Rapport de protection contre les rançongiciels

TS2log Security empêche les événements catastrophiques pour les entreprises en supprimant les rançongiciels à un stade précoce.

L'administrateur a accès aux informations concernant la source de l'attaque et les processus en cours et apprend ainsi à anticiper ces menaces.

Remarque : La protection contre les rançongiciels observe comment les programmes interagissent avec les fichiers système et personnels.
Pour assurer un niveau de protection plus élevé, la protection contre les rançongiciels crée des fichiers d'appâts dans des dossiers clés où les rançongiciels commencent souvent leur attaque.
Par conséquent, quelques fichiers cachés peuvent apparaître dans les dossiers du bureau, les documents des utilisateurs et dans d'autres emplacements.
Lorsque la protection contre les rançongiciels détecte un comportement malveillant, elle arrête immédiatement le rançongiciel (ou demande si l'utilisateur connecté est un administrateur).
Elle utilise des techniques de détection comportementales pures et ne s'appuie pas sur les signatures de logiciels malveillants, ce qui lui permet d'attraper les rançongiciels qui n'existent pas encore.

Ajouter une configuration SMTP - Alertes e-mail

Vous pouvez configurer vos paramètres SMTP afin que TS2log Security vous envoie des alertes e-mail pour mettre en évidence les événements de sécurité importants en cliquant sur le bouton situé sous celui de l'activation de rançongiciels :

Entrez votre nom d'hôte SMTP, votre port et cochez la case "Utiliser SSL" et changez le port de 25 à 465 si vous souhaitez utiliser SSL.
Saisissez le nom d'utilisateur et le mot de passe SMTP, ainsi que les adresses d'expéditeur et de destinataire.
Les paramètres de messagerie peuvent être validés en envoyant un test lors de l'enregistrement des paramètres SMTP.

Instantanés (Snapshots)

Les instantanés pris par la protection contre les rançongiciels sont visibles sous l'onglet "Snapshots" :

La liste peut être actualisée en cliquant sur le bouton correspondant. Chaque élément peut être restauré ou supprimé.

Quarantaine

Les programmes en quarantaine sont visibles sous l'onglet "Quarantaine" :

Chaque élément peut être restauré ou supprimé.

Liste des extensions de fichiers ignorées par défaut

Les fichiers ignorés ne sont pas utilisés pour détecter les actions malveillantes éventuelles et ne sont pas enregistrés lorsqu'ils sont modifiés.
L'idée est d'exclure toute opération sur des fichiers volumineux ou non pertinents (tels que les fichiers journaux).

• sys
• dll
• exe
• tmp
• ~tmp
• temp
• cache
• lnk
• 1
• 2
• 3
• 4
• 5
• LOG1
• LOG2
• customDestinations-ms
• log
• wab~
• vmc
• vhd
• vhdx
• vdi
• vo1
• vo2
• vsv
• vud
• iso
• dmg
• sparseimage
• cab
• msi
• mui
• dl_
• wim
• ost
• o
• qtch
• ithmb
• vmdk
• vmem
• vmsd
• vmsn
• vmss
• vmx
• vmxf
• menudata
• appicon
• appinfo
• pva
• pvs
• pvi
• pvm
• fdd
• hds
• drk
• mem
• nvram
• hdd
• pk3
• pf
• trn
• automaticDestinations-ms

Attention à l'extension des fichiers de sauvegarde

L'extension de fichier utilisée pour enregistrer les fichiers modifiés est : snapshot. Le pilote interdit toute action de modification ou de suppression sur ces fichiers sauf celle réalisée par le service TS2log Security. L'arrêt du service supprime les fichiers sauvegardés. Afin de supprimer ces fichiers manuellement, vous devez temporairement décharger le pilote.

Configuration du fichier de sauvegarde

Par défaut, le répertoire des fichiers enregistrés est situé dans le répertoire d'installation de TS2log Security et est appelé "snapshots".
Cependant, il est possible de définir un autre emplacement pour ce répertoire. Cela peut permettre à l'administrateur de définir un répertoire situé sur un disque plus rapide (SSD) ou sur un disque plus gros selon ses besoins. Le chemin du répertoire de sauvegarde ne doit pas être un chemin UNC, sous la forme :

\\<nom de l'ordinateur>\<dossier de sauvegarde>\

Ajout d'utilitaires de sauvegarde à la liste blanche

Nous vous recommandons d'ajouter des utilitaires de sauvegarde à la liste blanche.

Retour haut de page