Issue:
Vi får många varningar för åtkomstkontroll för Ransomware orsakade av Elements Endpoint Protection-funktionen DataGuard, som blockerar C:\Windows\System32\svchost.exe
Vad är grundorsaken till detta?
Resolution:
Ransomware-åtkomstkontroll är en DataGuard- funktion som ger användaren möjligheten att skydda viktig data från utpressningstrojan. Mer information finns i den här artikeln och i den här hjälpguiden .
I det här specifika fallet, där DataGuard är aktiverat för specifika mappar för att skydda mot utpressningstrojan. Från och med detta kan svchost.exe (ett legitimt Windows-program) försöka komma åt filen som är tillgänglig i dessa mappar, som omedelbart blockeras av DataGuard. Som standard är svchost.exe inte en betrodd applikation av DataGuard.
Du kan hitta mer information om denna upptäckt från Elements Endpoint Protection Portal:
- Logga in på Elements Endpoint Protection Portal
- Från menyn till vänster klickar du på PILOT för säkerhetshändelser
- Klicka på upptäckt och du kommer att se liknande detaljer:
Program C:\Windows\System32\svchost.exe
Mål C:\Användare\Användarnamn\Skrivbord\Mina dokument\ exempelmaterial.xlsx
Profilversion xxxxxxxxx
Klienttidsstämpel 30 oktober 2020 04:51:35
Transaktions-id 0000-xxxxxxxxxx
Det betyder att svchost.exe har försökt modifiera examplematerial.xlsx som sparas på användarens skrivbord som skyddas av DataGuard.
DataGuard fungerar annorlunda än våra andra motorer, eftersom det försöker vara så paranoid som möjligt (även upptäcka Microsoft Windows-filer). Detta beror på att vissa skadliga program kommer att injicera i legitima Microsoft-filer, vilket förklarar varför DataGuard är mer paranoid jämfört med andra motorer. DataGuard tillåter endast betrodda applikationer att ändra skyddade filer. Som standard är svchost.exe inte ett pålitligt program.
Så detta lämnar dig med ett val, vilket är att antingen lämna det som det är (vilket vi rekommenderar) eller lägga till svchost.exe som ett pålitligt program. Om du vill göra det senare kan du följa stegen i hjälpguiden .
Du kan också använda Windows processmonitor för att ta reda på vilken svchost-process som har försökt modifiera filen.
Det kan också vara vissa Windows- eller tredjepartsfunktioner som använder den här processen, och om du inte behöver den kan du inaktivera den, men det har ingenting att göra med vår produkt - vi blockerar bara skrivåtkomst till dessa filer som vi borde
Article no: 000027366
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.