1. Malwarebytes Support
  2. Business Solutions
  3. Malwarebytes Nebula platform
  4. Learn

Ransomware Rollback en Malwarebytes Endpoint Detection and Response

  • Updated

Ransomware Rollback es una característica de Malwarebytes Endpoint Detection and Response que remedia el daño realizado a sus equipos Windows por el ransomware. Ransomware Rollback utiliza un proceso especial de restauración para revertir el daño realizado por las amenazas. Junto con el motor de eliminación de malware, la memoria caché de la función de rollback permite que el agente del equipo restaure archivos eliminados o cifrados por malware. Con Rollback, se crea una caché local en el equipo para almacenar los cambios en los archivos del sistema, y esta caché se utiliza para ayudar a revertir los cambios causados por el ransomware.

Debe habilitar la Supervisión de actividad sospechosa para utilizar Ransomware Rollback. Para los requisitos de uso de Ransomware Rollback, consulte Requisitos mínimos para Malwarebytes Nebula platform.

Para ver esta característica, vaya a Configuración > Directivas > seleccione una directiva >pestaña Windows >pestaña Configuración.

Rollback tiene las siguientes opciones:

  • Habilitar/Deshabilitar Rollback: Activa o desactiva Ransomware Rollback.
  • Período de tiempo para almacenar cambios: Determina cuánto tiempo almacena Malwarebytes información en la memoria caché. Aumentar este tiempo aumenta el tamaño de la memoria caché en los equipos, ya que la memoria caché almacena los cambios realizados durante el período elegido. El valor predeterminado es de 48 horas.
  • Tamaño máximo para copias de seguridad de archivos individuales: Limita los archivos para los que se hace copia de seguridad en la memoria caché en función del tamaño de archivo. Los archivos que sean más grandes que el tamaño máximo no cuentan con una copia de seguridad. Aumentar el tamaño máximo de archivo aumenta el tamaño de la memoria caché en cada equipo.

Notas:

  • Cada equipo normalmente utiliza 200–500MB para la memoria caché, dependiendo del uso y cómo configura Ransomware Rollback.
  • Debe ser un super administrador para configurar Ransomware Rollback. Otros usuarios con acceso a las directivas pueden ver los parámetros de la configuración.

Utilización de la función de rollback para remediar un equipo

Ransomware Rollback se administra por medio de la pantalla Supervisión de actividad sospechosa. Vaya a Actividad sospechosa.

Junto a cada amenaza potencial, se muestran los iconos en las columnas Reglas activadas y Acciones. La siguiente tabla describe cada uno de los iconos.

DOC-3593-2.png

DOC-3593-3.png

Estos iconos muestran la pantalla de detalles de la actividad.

Aquí puede aprender más acerca de la causa de la detección, incluido una gráfica de procesos de actividad asociada, las reglas que activaron la detección y el contexto adicional.

El contexto adicional incluye rutas de acceso, hashes, modificaciones específicas del registro, permisos de lectura/escritura de archivos e ID de procesos.
DOC-3593-4.png

Haga clic en este icono para remediar la actividad sospechosa en el equipo.

Durante la remediación, Malwarebytes analiza la actividad sospechosa, elimina las amenazas restantes, y restaura los archivos eliminados o cifrados por las amenazas. Si no ha habilitado Ransomware Rollback en su directiva, es posible que no pueda restaurar todos los archivos. El equipo se reiniciará automáticamente para una remediación completa.

Si un equipo está actualmente aislado, todavía puede realizar la remediación. Si desea más información sobre el aislamiento, consulte Endpoint Isolation en Endpoint Detection and Response.


En algunas situaciones, Malwarebytes puede no ser capaz de restaurar todos los archivos. Si esto ocurre, puede intentar restaurar manualmente los archivos desde el equipo. Los archivos guardados en caché se almacenan en la carpeta:

%PROGRAMDATA%\Malwarebytes Endpoint Agent\Plugins\EDRPlugin\Restored Files\

Malwarebytes crea otras varias carpetas asociadas con la función de rollback dentro de esta carpeta. Siempre que sea posible, los nombres de las subcarpetas contienen el nombre de usuario para el propietario del archivo original. No hay ninguna garantía de que un archivo en particular se pueda recuperar.

Nota: Si las actividades sospechosas incluyen un componente que se ha excluido por las exclusiones de su directiva, no se remediará.

DOC-3593-6.png

DOC-3593-7.png

Estos iconos aparecen después de que envíe una petición de remediación a un equipo. El icono del reloj significa que el equipo tiene una tarea de remediación programada inacabada. El icono de marca de verificación significa que la remediación está completa.
DOC-3593-8.png

Este icono le permite marcar la actividad sospechosa como cerrada y no realizar una remediación.

Esto es especialmente de utilidad para los falsos positivos. No toda la actividad detectada es necesariamente maliciosa. Algunas detecciones se pueden activar por operaciones benignas.

Cuando marca una actividad como cerrada, se le solicita que excluya el proceso relacionado. Cuando excluye un proceso, Malwarebytes deja de etiquetar el mismo comportamiento como sospechoso. Si decide no excluir el proceso, la actividad se marca como cerrada, pero puede ver eventos futuros del mismo proceso.
DOC-3593-10.png

Este icono se muestra para una actividad marcada previamente como cerrada.

Hacer clic en el icono reabre la actividad, donde puede eliminar el proceso de la lista Exclusiones. También puede reabrir una actividad, pero dejarla excluida.

 

Volver a la Guía del administrador de Malwarebytes Nebula platform