Issue:
Saamme paljon Ransomware-käytönvalvontahälytyksiä, jotka johtuvat Elements Endpoint Protection -ominaisuuden DataGuardista, joka estää C:\Windows\System32\svchost.exe
Mikä on tämän perimmäinen syy?
Resolution:
Ransomware-pääsynhallinta on DataGuard -ominaisuus, joka tarjoaa käyttäjälle mahdollisuuden suojata tärkeitä tietoja kiristysohjelma. Lisätietoja on tässä artikkelissa ja tässä ohjeoppaassa .
Tässä nimenomaisessa tapauksessa, jossa DataGuard on otettu käyttöön tietyissä kansioissa suojaamaan kiristysohjelma. Tästä lähtien svchost.exe (laillinen Windows-sovellus) saattaa yrittää käyttää kyseisissä kansioissa olevaa tiedostoa, jonka DataGuard estää välittömästi. Oletuksena svchost.exe ei ole DataGuardin luotettava sovellus.
Löydät lisätietoja tästä havainto Elements Endpoint Protection -portaalista:
- Kirjaudu sisään Elements Endpoint Protection -portaaliin
- Valitse vasemmalla olevasta valikosta Tietoturvatapahtumat PILOT
- Napsauta havainto ja näet samanlaisia yksityiskohtia:
Sovellus C:\Windows\System32\svchost.exe
Kohde C:\Käyttäjät\Käyttäjänimi\Työpöytä\Omat asiakirjat\ examplematerial.xlsx
Profiilin versio xxxxxxxxxx
Asiakkaan aikaleima 30.10.2020 4:51:35
Tapahtumatunnus 0000-xxxxxxxxxx
Tämä tarkoittaa, että svchost.exe on yrittänyt muokata examplematerial.xlsx-tiedostoa , joka on tallennettu DataGuardin suojaamalle käyttäjien työpöydälle .
DataGuard toimii eri tavalla kuin muut moottorimme, koska se yrittää olla mahdollisimman vainoharhainen (jopa tunnistaa Microsoft Windows -tiedostoja). Tämä johtuu siitä, että jotkin haittaohjelmat ruiskuttavat laillisiin Microsoft-tiedostoihin, mikä selittää, miksi DataGuard on vainoharhaisempi muihin moottoreihin verrattuna. DataGuard sallii vain luotettujen sovellusten muokata suojattuja tiedostoja. Oletusarvoisesti svchost.exe ei ole luotettava sovellus.
Joten tämä jättää sinulle yhden valinnan, joka on joko jättää se sellaisenaan (jota suosittelemme) tai lisätä svchost.exe luotetuksi sovellukseksi. Jos haluat tehdä jälkimmäisen, voit seurata ohjeoppaan ohjeita.
Voit myös käyttää Windowsin prosessinvalvontaa selvittääksesi, mikä svchost-prosessi tarkalleen on yrittänyt muokata tiedostoa.
Se voi myös olla jokin Windows tai kolmannen osapuolen ominaisuus, joka käyttää tätä prosessia, ja jos et tarvitse sitä, voit poistaa sen käytöstä, mutta sillä ei ole mitään tekemistä tuotteemme kanssa - estämme vain kirjoitusoikeudet näihin tiedostoihin kuten meidän pitäisi.
Article no: 000027366
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.