مشاوره رایگان

دو کرک _ خدمات مهندسی معکوس نرم افزار

ManageEngine Ransomware Protection Plus 11.5 — Руководство для системных администраторов

 

Что такое ManageEngine Ransomware Protection Plus?

ManageEngine Ransomware Protection Plus — специализированное решение для защиты от программ-вымогателей (шифровальщиков) от ManageEngine (подразделение ИТ-управления корпорации Zoho), разработанное специально для обнаружения, сдерживания и восстановления после атак шифровальщиков на конечных точках Windows. В отличие от универсальных антивирусов, оно целенаправленно создано для работы с характерными поведенческими паттернами программ-вымогателей: массовым шифрованием файлов, удалением теневых копий, кражей учётных данных и горизонтальным перемещением.

Развёртывается в двух конфигурациях:

  • Самостоятельный продукт — устанавливается независимо как выделенный уровень защиты от программ-вымогателей для организаций, не использующих другие продукты ManageEngine
  • Дополнение к Endpoint Central — интегрируется в платформу унифицированного управления конечными точками (UEM) ManageEngine примерно за $145/год, объединяя защиту от шифровальщиков с управлением исправлениями, контролем устройств, управлением уязвимостями и удалённым устранением неполадок в одном агенте

Текущая версия: 11.5.2611.02

Ключевое отличие от Malware Protection Plus: ManageEngine предлагает два различных модуля безопасности для Endpoint Central. Malware Protection Plus (~$495/год) — полноценный антивирус нового поколения (NGAV), покрывающий весь спектр вредоносного ПО: трояны, шпионы, бесфайловые атаки, угрозы нулевого дня и программы-вымогатели. Ransomware Protection Plus (~$145/год) — более узкий специализированный модуль по более низкой цене, сосредоточенный исключительно на рабочем процессе обнаружения-сдерживания-восстановления для инцидентов с шифровальщиками. Основная целевая аудитория: организации с действующим антивирусным решением, которым нужна специализированная устойчивость к шифровальщикам — в особенности восстановление на основе VSS.

Проблема программ-вымогателей: почему нужна специализированная защита

Традиционный антивирус обнаруживает вредоносное ПО, которое он уже видел. Операторы шифровальщиков знают об этом. Современные семейства программ-вымогателей обходят сигнатурное обнаружение через:

  • Полиморфизм — автоматическая мутация кода, чтобы избежать совпадения с известными сигнатурами
  • Атаки «с использованием живой земли» (LotL) — использование легитимных утилит Windows (PowerShell, WMI, certutil, regsvr32) как транспортных средств атаки, без касания диска каким-либо распознаваемым вредоносным файлом
  • Выполнение только в памяти — загрузка и исполнение целиком в ОЗУ, обход файлового обнаружения
  • Отложенная активация — периоды дремоты заражения, позволяющие шифровальщику распространиться горизонтально до запуска шифрования, что позволяет обходить системы, коррелирующие время появления файла с обнаружением

После активации программа-вымогатель следует предсказуемому оперативному сценарию: перечислить файлы → удалить или повредить теневые копии (чтобы исключить откат) → зашифровать целевые файлы → разместить записку с требованием выкупа. Окно между началом шифрования и полной потерей данных — обычно от минут до нескольких часов.

ManageEngine Ransomware Protection Plus решает эту задачу, обнаруживая шифровальщиков по тому, что они делают — поведенческим паттернам, — а не по тому, чем они являются, и поддерживая защищённые от вмешательства теневые копии, которые программа-вымогатель не может удалить.

Архитектура обнаружения

Поведенческое обнаружение (без зависимости от сигнатур)

Движок обнаружения анализирует поведение процессов и файлов в реальном времени, отмечая паттерны, характерные для активности шифровальщиков:

  • Массовая модификация файлов — обнаружение процессов, которые открывают, читают и перезаписывают большое количество файлов в быстрой последовательности (паттерн шифрования)
  • Изменение расширений файлов — мониторинг массового переименования файлов в незнакомые расширения (след после шифрования)
  • Анализ энтропии — измерение случайности содержимого файлов; зашифрованные файлы имеют значительно более высокую энтропию, чем исходные версии, что обнаруживается даже без знания конкретного алгоритма шифрования
  • Попытки удаления теневых копий — любой процесс, пытающийся удалить снимки VSS, немедленно помечается как подозрительный — это стандартная тактика шифровальщиков для предотвращения восстановления
  • Модификация критических системных файлов — мониторинг несанкционированных изменений ключей реестра, конфигурации загрузки и системных файлов, которые часто становятся мишенями шифровальщиков

Этот поведенческий подход означает, что Ransomware Protection Plus обнаруживает ранее невиданные варианты шифровальщиков — включая угрозы нулевого дня и заказное вредоносное ПО, — у которых нет существующей сигнатуры. Это также обеспечивает эффективную защиту в изолированных средах и средах с ограниченной/отсутствующей сетью: обнаружение работает локально, не требуя облачного подключения для обновления баз сигнатур.

Мониторинг файлов-приманок (ловушки)

Ransomware Protection Plus развёртывает файлы-приманки (их также называют файлами-ловушками, canary-файлами или bait-файлами) стратегически по всем управляемым конечным точкам. Эти файлы выглядят для шифровальщика как ценные документы, но не служат никакой реальной операционной цели.

Когда шифровальщик начинает волну шифрования, он обычно начинает с наиболее доступных файлов — и файлы-приманки расположены так, чтобы оказаться в числе первых целей. В момент, когда процесс пытается зашифровать или изменить файл-приманку, немедленно генерируется тревога. Это обеспечивает:

  • Раннее предупреждение до существенных потерь данных — шифровальщик поймали при попытке зашифровать файл-наживку, а не после того, как он уже зашифровал сотни реальных документов
  • Низкий уровень ложных срабатываний — у законных пользовательских процессов и приложений нет причин модифицировать файлы-приманки, поэтому тревоги от них действительно подозрительны
  • Быстрое реагирование на инцидент — поскольку тревога срабатывает в самом начале волны шифрования, у ИТ-команд есть время для сдерживания угрозы до её распространения
حتما بخوانید:  ETAP vs PSS/E vs DIgSILENT PowerFactory — Какой инструмент для расчёта электроэнергетических систем?

Антишифрование на уровне ядра

Помимо обнаружения, Ransomware Protection Plus включает элементы управления на уровне ядра, способные предотвратить несанкционированное шифрование ещё до его начала. Это работает ниже уровня приложений, на котором выполняется большинство шифровальщиков, что существенно затрудняет обход.

При обнаружении подозрительного поведения шифрования механизм антишифрования может завершить нарушающий процесс и заблокировать дальнейшие попытки шифрования до выполнения полезной нагрузки.

Обнаружение атак через память и скрипты

Шифровальщики, доставляемые через бесфайловые техники — скрипты PowerShell, документы Office с вредоносными макросами, злонамеренные запросы WMI, — работают целиком в памяти без записи традиционного исполняемого файла на диск. Ransomware Protection Plus отслеживает поведение памяти процессов и выполнение скриптов для обнаружения этих атак даже при отсутствии сигнатуры файла.

Сдерживание: остановить распространение до кризиса

Раннее обнаружение шифровальщика ценно только при быстром сдерживании. Программы-вымогатели рассчитаны на горизонтальное распространение — от первоначально заражённой конечной точки к сетевым ресурсам, подключённым дискам и в итоге другим конечным точкам — в кратчайшие сроки.

Автоматическая изоляция конечной точки

При подтверждении шифровальщика (или высоком уровне уверенности в угрозе) Ransomware Protection Plus может автоматически поместить в карантин заражённую конечную точку — разорвать её сетевые подключения для предотвращения горизонтального распространения, сохраняя при этом административный доступ для исправления. Это происходит в течение секунд после обнаружения, существенно снижая радиус поражения атаки.

Администраторы также могут вручную инициировать изоляцию из центральной консоли для любой конечной точки, вызывающей подозрения.

Два режима реагирования: «Аудит» и «Уничтожение»

У ИТ-команд разные предпочтения относительно агрессивности автоматического реагирования. Ransomware Protection Plus предоставляет два настраиваемых режима:

Режим «Аудит»: Система помечает подозрительные процессы и генерирует тревоги, но не завершает их автоматически. ИТ-персонал проверяет помеченные инциденты, классифицирует их как истинно- или ложноположительные и предпринимает ручные действия по исправлению. Предпочтителен для организаций, требующих проверки человеком перед автоматическим вмешательством, или стремящихся минимизировать риск прерывания легитимных процессов при ложном срабатывании.

Режим «Уничтожение»: Система автоматически завершает процессы с поведением шифровальщика сразу после пересечения порога уверенности. Вмешательство человека до завершения процесса не требуется. Предпочтителен для организаций, ставящих во главу угла максимальную автоматизацию и минимальное время реагирования.

Оба режима генерируют подробные журналы инцидентов вне зависимости от того, какое автоматическое действие (если оно вообще было) предпринято.

Управление ложными срабатываниями

Любая поведенческая система обнаружения должна справляться с ложными срабатываниями — легитимными процессами, демонстрирующими паттерны, схожие с шифровальщиком. Ransomware Protection Plus включает механизм исключений:

  • Исключения папок — задание директорий, в которых работают доверенные приложения; модификации в этих директориях указанными процессами не помечаются
  • Исключения приложений — занесение в белый список конкретных подписанных исполняемых файлов, которые законным образом выполняют массовые файловые операции (резервное копирование, СУБД, утилиты сжатия файлов)
  • Исключения по сертификату подписи — освобождение от поведенческой проверки процессов, несущих доверенные сертификаты подписи кода, в заданной области

Запатентованный движок обнаружения разработан с прицелом на низкий уровень ложных срабатываний — приоритет точности сигнала над чувствительностью, чтобы минимизировать усталость от тревог у ИТ-команд.

Восстановление на основе VSS: уровень устойчивости данных

Обнаружение и сдерживание устраняют распространение шифровальщика. Восстановление устраняет ущерб, нанесённый до срабатывания обнаружения. Именно здесь архитектура теневых копий Ransomware Protection Plus становится ключевым дифференциатором.

Автоматические теневые копии каждые три часа

Ransomware Protection Plus использует Службу теневого копирования томов Microsoft (VSS) для автоматического создания теневых копий всех файлов на каждой защищённой конечной точке с интервалом в три часа. Эти снимки фиксируют состояние каждого файла — документов, баз данных, конфигурационных файлов — на момент снимка.

Принципиально важно, что теневые копии хранятся локально на самой конечной точке, а не в сетевом расположении, до которого шифровальщик мог бы добраться через перечисление сети. Локальное хранение обеспечивает:

  • Создание снимков без нагрузки на сетевую полосу пропускания
  • Доступность снимков даже при изоляции конечной точки от сети в ходе восстановления
  • Достижение трёхчасового RPO (целевой точки восстановления) без зависимости от резервного сервера

Защита теневых копий от взлома

Стандартные программы-вымогатели — особенно такие изощрённые семейства, как LockerGoga, — удаляют или повреждают теневые копии VSS в числе первых своих действий, именно чтобы исключить такое восстановление. Ransomware Protection Plus применяет запатентованный механизм защиты от взлома к своим снимкам VSS:

  • Шифровальщик не может удалить или повредить теневые копии Ransomware Protection Plus, даже если ему удалось удалить стандартные снимки VSS
  • Случайное или намеренное удаление пользователями также предотвращается
  • Защита работает прозрачно с пренебрежимо малыми накладными расходами на хранение
حتما بخوانید:  Geneious Prime 2026 — Полное руководство для молекулярных биологов и биоинформатиков

Эта защита от взлома — именно та функция, которая закрывает уязвимость, оставляемую открытой большинством стратегий восстановления на основе VSS: шифровальщик удаляет резервные копии перед шифрованием данных, не оставляя ничего для восстановления.

Восстановление зашифрованных файлов в один клик

После сдерживания атаки:

  1. Ransomware Protection Plus идентифицирует все файлы, зашифрованные или изменённые в ходе атаки
  2. Сопоставляет затронутые файлы с последним чистым снимком VSS
  3. Рабочий процесс восстановления в один клик инициирует откат — только конкретные зашифрованные или изменённые файлы восстанавливаются до последних известных чистых версий
  4. Полная переустановка системы не требуется; откатываются только затронутые файлы

Такой избирательный подход к восстановлению минимизирует время восстановления по сравнению с полным восстановлением системы. Несколько конечных точек можно восстанавливать параллельно из центральной консоли, поддерживая низкий RTO (целевое время восстановления).

При трёхчасовом интервале теневых копий в худшем случае могут быть потеряны изменения до трёх часов — однако последняя безопасная версия каждого файла всегда доступна в пределах трёхчасового окна.

Анализ атак и криминалистика

Анализ корневой причины

Ransomware Protection Plus отображает полный жизненный цикл атаки шифровальщика в представлении инцидента:

  • Начальная точка входа — какое устройство и какой процесс инициировали атаку
  • Цепочка процессов — полное дерево родительских/дочерних процессов, порождённых вредоносной активностью
  • Затронутые файлы — полный список зашифрованных, переименованных или удалённых файлов
  • Сетевая активность — соединения, установленные в ходе атаки (коммуникации с командными серверами, попытки горизонтального перемещения)
  • Хронология — временны́е метки каждого этапа атаки

Анализ корневой причины преследует две цели: немедленное реагирование на инцидент (понять, что произошло и завершено ли исправление) и долгосрочное улучшение защиты (выявить начальный вектор атаки, чтобы устранить его).

Отображение на MITRE ATT&CK

Каждый обнаруженный инцидент с шифровальщиком отображается на соответствующие тактики, техники и процедуры (ТТП) MITRE ATT&CK. Это отображение:

  • Предоставляет стандартизированный язык для отчётности об инцидентах и коммуникации с командами безопасности
  • Позволяет выявлять техники ATT&CK, наиболее часто применяемые против инфраструктуры организации
  • Поддерживает обмен данными киберразведки через отображение инцидентов на идентификаторы техник, признанные сообществом
  • Упрощает отчётность по соответствию для фреймворков, ссылающихся на MITRE ATT&CK

Интеграция с киберразведкой

Ransomware Protection Plus интегрируется с сообществом VirusTotal для обогащения контекстом угроз:

  • Поиск хешей вредоносных файлов, выявленных в ходе инцидентов
  • Проверка репутации IP-адресов и URL командных серверов, использованных в атаке
  • Перекрёстная ссылка наблюдаемых ТТП с семействами шифровальщиков, задокументированными сообществом

Развёртывание и системные требования

Модель развёртывания

Ransomware Protection Plus использует существующий агент Endpoint Central — установка отдельного агента на защищаемых конечных точках не требуется. Если Endpoint Central уже развёрнут, активация Ransomware Protection Plus — это изменение лицензии, а не инфраструктуры. Для автономного развёртывания сначала устанавливается агент Endpoint Central.

Поддерживаемые платформы

  • Windows 10 / 11 (все редакции)
  • Windows Server 2012 R2, 2016, 2019, 2022

Примечание: Ransomware Protection Plus защищает только конечные точки Windows. Платформа Endpoint Central управляет устройствами macOS и Linux для других целей, однако специализированный модуль защиты от шифровальщиков на эти платформы в текущей версии не распространяется.

Потребление ресурсов

Ransomware Protection Plus разработан с минимальным влиянием:

  • ~1% сетевой полосы пропускания для агента
  • Лёгкая нагрузка на ЦП и память — рассчитан на рабочие конечные точки без снижения производительности пользователей
  • Теневые копии VSS хранятся локально на конечной точке с пренебрежимо малыми накладными расходами на хранение (VSS захватывает только изменения с момента последнего снимка, а не полные копии файлов)

Требования к сетевому подключению

  • Обнаружение на базе конечной точки работает локально — не требует постоянного облачного подключения для обнаружения угроз
  • Эффективно в изолированных (air-gapped) и средах с ограниченной/отсутствующей сетью
  • Для отчётности и администрирования консоль управления требует сетевого подключения к серверу Endpoint Central

Цены

Вариант Цена
Ransomware Protection Plus (дополнение к Endpoint Central) ~$145/год
Malware Protection Plus (полный NGAV, включая защиту от шифровальщиков) ~$495/год
Endpoint Central Professional (базовый UEM, без модулей безопасности) от ~$104/месяц (50 устройств, облако)
Endpoint Central Security Edition (включает все функции безопасности) Индивидуальное предложение
Бесплатный пробный период 30 дней, неограниченное количество конечных точек

Ransomware Protection Plus vs Malware Protection Plus — что выбрать:

Выбирайте Ransomware Protection Plus (~$145/год), если в вашей организации уже развёрнуто антивирусное решение (Kaspersky, Dr.Web, CrowdStrike, SentinelOne, Windows Defender и т. п.) и вам конкретно нужно добавить поверх существующей защиты восстановление на основе VSS, мониторинг файлов-приманок и специализированное сдерживание шифровальщиков.

Выбирайте Malware Protection Plus (~$495/год), если нужна полноценная замена антивируса — покрывающая весь спектр угроз вредоносного ПО (не только шифровальщики) с обнаружением на базе ИИ, отображением MITRE ATT&CK и защитой от бесфайловых атак.

حتما بخوانید:  Geneious Prime vs SnapGene — Какое ПО для молекулярной биологии выбрать для вашей лаборатории?

Оба дополнения могут быть включены в единую лицензию Endpoint Central. Свяжитесь с отделом продаж ManageEngine для получения комплексного предложения.

Сравнение: Ransomware Protection Plus vs автономные инструменты защиты от шифровальщиков

Возможность ManageEngine RPP Acronis Veeam Kaspersky Anti-Ransomware
Поведенческое обнаружение ✅✅ ✅✅ ✅✅
Файлы-приманки / ловушки ✅✅
Восстановление теневых копий VSS ✅✅ Защита от взлома ✅✅ ✅✅ (фокус на резервном копировании)
Защита VSS от взлома ✅✅ Запатентовано
Изоляция конечной точки ✅✅
Отображение MITRE ATT&CK ✅✅
Анализ корневой причины ✅✅
Air-gapped / офлайн-обнаружение ✅✅
Интеграция с UEM / управлением исправлениями ✅✅ (Endpoint Central)
Ограничение только Windows ✅ (только Windows) Кроссплатформенно Кроссплатформенно Кроссплатформенно
Ценовой уровень ✅✅ ~$145/год Выше Выше Сопоставимо

Преимущество интеграции: Главное конкурентное преимущество Ransomware Protection Plus перед автономными инструментами — нативная интеграция с Endpoint Central. При обнаружении шифровальщика та же консоль, которая управляет исправлениями, инвентаризацией ПО, удалённым доступом и контролем устройств, обрабатывает и сдерживание, и восстановление. ИТ-команды не переключаются между инструментом безопасности и инструментом управления конечными точками — рабочий процесс реагирования живёт в едином интерфейсе.

Часто задаваемые вопросы

Требуется ли установка отдельного агента на каждой конечной точке? Нет. Используется существующий агент Endpoint Central. Если Endpoint Central уже развёрнут, никакой дополнительной установки агента не требуется — модуль активируется через лицензирование.

Какова целевая точка восстановления (RPO) при использовании теневых копий VSS? Теневые копии создаются каждые три часа. В наихудшем сценарии (атака обнаружена сразу после создания снимка) может быть потеряно до трёх часов изменений файлов. На практике последний снимок обычно моложе трёх часов.

Может ли шифровальщик удалить теневые копии Ransomware Protection Plus? Нет. Запатентованный механизм защиты от взлома не позволяет шифровальщикам — и пользователям — удалять или повреждать теневые копии, управляемые Ransomware Protection Plus. Это конкретно закрывает уязвимость, которую используют изощрённые шифровальщики (как LockerGoga), удаляя стандартные снимки VSS перед шифрованием файлов.

Это заменяет антивирус? Ransomware Protection Plus не является полноценной заменой антивируса. Это специализированный модуль для шифровальщиков. Организации должны сохранять существующее антивирусное решение (Kaspersky, Dr.Web, ESET NOD32 и другие) наряду с Ransomware Protection Plus. Если нужна полноценная замена NGAV — Malware Protection Plus (~$495/год) является подходящим продуктом.

Работает ли на macOS или Linux? В текущей версии — нет. Ransomware Protection Plus защищает только конечные точки Windows. Endpoint Central управляет устройствами macOS и Linux для других целей, однако модуль защиты от шифровальщиков на эти платформы не распространяется.

Что происходит, если конечная точка офлайн во время атаки? Обнаружение на базе конечной точки работает локально, не требуя облачного или серверного подключения. Конечная точка способна обнаружить угрозу, сформировать тревогу (локально) и инициировать действия по реагированию даже при отключении от сети. Это особенно ценно для изолированных сегментов ИТ-инфраструктуры, характерных для российских промышленных и государственных организаций с требованиями к сегментации сети.

Совместимо ли с Kaspersky / Dr.Web / ESET / Windows Defender? Да. Ransomware Protection Plus разработан для совместной работы с существующими продуктами безопасности без конфликтов. Уровень восстановления на основе VSS с защитой от взлома дополняет любую платформу защиты конечных точек.

Итог

ManageEngine Ransomware Protection Plus 11.5 — специализированный уровень защиты от шифровальщиков, устраняющий конкретные уязвимости, которые оставляют открытыми традиционные и даже NGAV-продукты в сценариях с программами-вымогателями: трёхчасовое окно восстановления, обеспечиваемое защищёнными от взлома теневыми копиями VSS; раннее предупреждение через мониторинг файлов-приманок; анализ корневой причины с отображением на MITRE ATT&CK, превращающий каждый инцидент в возможность улучшения защиты.

За ~$145/год в качестве дополнения к Endpoint Central — одно из наиболее экономичных решений для добавления восстановления на основе VSS и поведенческого сдерживания к существующей инфраструктуре управления конечными точками, особенно для организаций, уже имеющих антивирусное решение и конкретно нуждающихся в уровне устойчивости к шифровальщикам.

Для ИТ-сред, работающих на Endpoint Central, активация Ransomware Protection Plus означает отсутствие нового агента, новой консоли и нового обучения — лишь дополнительный специализированный уровень защиты и восстановления от шифровальщиков, встроенный в тот же рабочий процесс управления.

По вопросам лицензирования Ransomware Protection Plus обращайтесь в Telegram: t.me/DoCrackMe

Смотрите также: ManageEngine Malware Protection Plus — Руководство по NGAV | ManageEngine Endpoint Central Security Edition — Полное руководство | ManageEngine ADManager Plus — Управление Active Directory

فهرست مطالب

مقالات مرتبط

دو کرک : خدمات مهندسی معکوس نرم افزار و لایسنس ManageEngine

بستن منو