QA@IT

ランサムウェア防御製品について

654 PV

Windos7の端末へランサムウェア防御用の製品を導入しました。
製品の仕様上、主要なフォルダへおとりファイルを作成し、おとりファイルへの変更(暗号化や削除等)を検知する仕組みとのことでした。

エクスプローラ上は、おとりファイルは表示されておりません(隠しファイル・フォルダは表示設定としているがおとりファイルの表示はなし)。
ですが、「XYplorer」というファイル操作ツール上は、おとりファイルが表示され、操作を行う事ができてしまいます。

Windowsのエクスプローラと「XYplorer」などのファイル操作ツールとの違いが分かっておらず、また知識も足りず、なぜ表示される・されないと違いがあるのかもわかっていない状況です。

そこで知識ある方に、以下2点お伺いさせて下さい。
・エクスプローラで表示されず、「XYplorer」で表示される事への考えられる理由を教えて頂けますでしょうか。
※ランサムウェア防御用の製品も「XYplorer」もバージョン等の詳細を記載しておりませんので、あくまでも考えられる理由を列挙して教えてもらえると助かります。当方が知識が不足しており、どのような違いがあるのか、見当がついていないため、質問致しました。
・上記理由の中で、Windowsのエクスプローラでも設定により、表示されてしまう場合があれば合わせて教えて頂けますでしょうか。

回答

https://helpx.adobe.com/jp/x-productkb/global/cpsid_87117.html
ここの「Windows 7 の場合」で表示されますか。
追加:さらに、リストの一番下にある「保護されたオペレーティングシステムファイルを表示しない」のチェックを外してください。

ところで、その「防御」ソフト、大丈夫ですか?例えば、私が使っているカスペルスキーの同様の機能では、
「ファイルの変更を監視し、ファイルに対する疑わしいアプリケー ションの挙動を検知したタイミングで、保護されたファイルのバックアップコピーを作成します。さらにそのアプリケーションがランサムウェア(または他の悪意のあるマルウェア)だと判定された場合、システムウォッチャーはマルウェアを削除し、改ざんされたファイルを自動的にバックアップコピーからロールバック(改竄前の状態に復元) します。」
という動きをするそうです。
https://media.kaspersky.com/jp/business-security/Kaspersky-WP-Ransomware-PMM-1010.pdf
P4「ワークステーションのセキュリティ」より

おとりファイルが書き換えされなかったら検出できない、のですよね?ということは、おとりファイル以外のファイルが暗号化されたらどうするのでしょう?
まぁ、そんなこと言ったら「閲覧履歴・全ディスクのすべての画像ファイル・等を読み取った。ばらされたくなければ・・・」と、暗号化する必要もない場合も有りそうですが。

編集 履歴 (1)
ウォッチ

この質問への回答やコメントをメールでお知らせします。