ランサムウェア対策

ランサムウェア対策は、"ランサムウェア"によるクライアント上のファイルの不正な変更や暗号化を防止します。ランサムウェアは不正プログラムの一種で、ファイルへのアクセスを制限し、ファイルの復元と引き換えに金銭を要求してきます。

ウイルスバスター Corp.には、ランサムウェアの脅威から環境を保護する対策として次のオプションが用意されています。

注:

ウイルスバスター Corp.クライアントで安全なプロセスが不正プロセスとして検出される確率を少なくするには、クライアントがインターネットにアクセスし、トレンドマイクロのサーバを使用してその他の検証プロセスを実行できるようにします。

オプション

説明

不正な暗号化や変更から文書を保護

ランサムウェアの可能性のある特定のイベントシーケンスを検出するように、挙動監視を設定できます。ウイルスバスター Corp.クライアントは、次のすべての条件に該当する場合、不正なプログラムを終了して隔離を試みます。

  1. 一定期間内に3つのファイルを変更、削除、または名前変更しようとする、安全と認識されていないプロセス

  2. 保護されているファイルの拡張子の種類を変更しようとしたプロセス

さらに、[不審なプログラムによって変更されたファイルを自動的にバックアップして復元] を有効にすると、ランサムウェアによって暗号化の対象とされやすいファイルのコピーが事前にエンドポイントに作成されます。暗号化プロセスの完了後にウイルスバスター Corp.でランサムウェアの脅威が検出されると、影響を受けたファイルの復元を求めるメッセージが表示され、事前にバックアップされていたファイルを復元する事で、データを失うリスクを低減できます。

注:

自動ファイルバックアップを実行するには、クライアントエンドポイントに100MB以上のディスク容量が必要です。また、バックアップされるのは10MB未満のファイルだけです。

クライアントエンドポイントのバックアップフォルダの場所は、<クライアントインストールフォルダ>\CCSF\module\DRE\dataです。

警告:

[不審なプログラムによって変更されたファイルを自動的にバックアップして復元] を有効にしないと、ウイルスバスター Corp.で新しいランサムウェアの脅威による攻撃を最初に受けたファイルを回復できません。

ランサムウェアに関連付けられていることの多いプロセスをブロック

多くのランサムウェアは、エンドポイントの特定の場所に実行可能ファイルとして侵入し、ファイルのハイジャックを試みます。該当する場所から開始されるプロセスをブロックすることで、ランサムウェアによるファイルのハイジャックを回避できます。

プログラム検査を有効にして不正な実行可能ファイルを検出およびブロック

プログラム検査は、プロセスを監視してAPIフックを行うことで、予期しない挙動を示すプログラムを特定します。これにより、不正な実行可能ファイルの全体的な検出率が高くなりますが、システムのパフォーマンスが下がる場合があります。

ヒント:

[ブロックする脅威] リストから [既知の脅威と潜在的な脅威] を選択すると、プログラム検査によるセキュリティが向上します。

重要:

Windows Server 2003 (SP2以降を未適用) およびWindows XPの64ビットプラットフォームではサポートされません。