O Ransomware Rollback é um recurso do Malwarebytes Endpoint Detection and Response que corrige um dano causado por ransomware aos seus terminais Windows. O Ransomware Rollback usa um processo de restauração especial para reverter os danos causados por ameaças. Juntamente com nosso mecanismo de remoção de malware, o cache de rollback permite que o agente do terminal restaure arquivos removidos ou criptografados pelo malware. Com o Rollback, um cache local é criado no terminal para armazenar mudanças no arquivo do sistema e esse cache é usado para ajudar a reverter as mudanças causadas pelo ransomware.
É necessário habilitar o monitoramento de atividade suspeita para usar o recurso de Ransomware Rollback. Para os requisitos de uso do Ransomware Rollback, consulte Requisitos mínimos para a plataforma Nebula da Malwarebytes.
Para consultar esse recurso, vá para Configurações > Políticas > Selecione uma política > guia Windows > guia Configurações.
O Rollback possui as seguintes opções:
- Habilitar/desabilitar rollback: Habilita e desabilita o recurso Ransomware Rollback.
- Tempo de restauração para armazenar mudanças: Determina por quanto tempo o Malwarebytes armazena informações no cache. O aumento desse tempo aumenta o tamanho do cache nos terminais, pois o cache armazena mudanças feitas durante o período escolhido. O valor padrão é de 48 horas.
- Cota de espaço livre para o Rollback: Configura a porcentagem máxima de espaço livre de disco que será alocado para os backups dos dados. A configuração padrão está definida para 30%, mas você pode ajustar entre 10 e 70%. Esta configuração se aplica a todos os endpoints que usam esta política.
- Tamanho máximo para backups de arquivo individuais: Limita os arquivos que terão backup no cache com base no tamanho do arquivo. Arquivos maiores que o tamanho máximo não têm backup. O aumento do tamanho máximo do arquivo aumenta o tamanho do cache nos terminais.
Notas:
- Cada terminal usa um máximo de 30% de espaço livre em disco, para evitar problemas com o sistema operacional. Isso é sempre relativo ao espaço de disco disponível no disco rígido. Se em algum momento, o disco rígido reduzir sua capacidade de espaço livre, então a pasta de backup se redimensiona automaticamente para manter a mesma porcentagem utilizada, excluindo os arquivos mais antigos para acomodar espaço.
- É necessário ser um Super Admin ou Administradores a fim de configurar o Ransomware Rollback. Outros usuários com acesso à política podem somente visualizar as configurações de Rollback.
Use o rollback para reverter um ataque em um terminal
A função de Ransomware Rollback está disponível através da tela de Monitoramento de Atividades Suspeitas (Suspicious Activity Monitoring). Vá para a opção Suspicious Activity.
Em cada ícone de cada ameaça potencial, voce pode realizar as ações rapidamente.
Na coluna Rules Triggered, clique no ícone Suspicious Activity Rule(s) ( 
) para mostrar o status da atividade suspeita e o gráfico de processos (Process Graph).
Na coluna Actions, clique no ícone (
) para Remediar ou Fechar o Incidente.
Retornar ao Guia do administrador da plataforma Nebula da Malwarebytes