BackupAssist CryptoSafeGuard

CryptoSafeGuard Detector（检测器）- 防止受感染的文件被备份

当备份作业启动时，BackupAssist会扫描正在备份的数据。如果有任何可能的勒索软件感染的迹象，所有备份作业将被阻止运行，如果已进行相关配置，将发送电子邮件和短信（SMS）警告。如果您的作业将备份Hyper-V客户机，CryptoSafeGuard Detector（检测器）也将扫描那些Hyper-V客户机的内容。

这种扫描是出于宁可失之过于谨慎的考虑进行的，因此它可能在文件未被感染时将其标记为可能已感染。如果发生这种情况，您能够将这些文件列入白名单，以便BackupAssist知道它们是安全的，并且不会再次标记它们。

注意：CryptoSafeGuard能够检测到勒索软件感染的迹象。它不能保护实际系统免受勒索软件侵害，也不能删除勒索软件。

CryptoSafeGuard Shield - 为您现有的备份提供勒索软件防护

CryptoSafeGuard Shield可防止未经授权的进程在您的备份中创建、删除或更新数据。当启用CryptoSafeGuard时，该特性会在后台自动运行。

注意：CryptoSafeGuard Shield将阻止您手动删除备份。如果您需要手动删除备份，请禁用CryptoSafeGuard，进行删除，然后再次启用CryptoSafeGuard。

添加CryptoSafeGuard

CryptoSafeGuard适用于所有使用BackupAssist 10.1或更高版本并拥有活动BackupCare订阅的用户。不确定您的BackupCare是否过期？可以通过链接更新过期的BackupCare。要升级到BackupAssist 10.1，单击 此处，进入“升级/更新”（Upgrade / Update）选项卡。

注意：如果您已经更新了您的BackupCare订阅，您的BackupAssist安装需要在线，以便许可服务器能够识别您的BackupAssist安装，以使CryptoSafeGuard可用。

一旦CryptoSafeGuard在BackupAssist中变得可用，您应该检查您是否启用了CryptoSafeGuard。

启用CryptoSafeGuard

您可以使用“设置”（Settings）选项卡来启用或禁用CryptoSafeGuard。

启用或禁用CryptoSafeGuard的步骤如下：

1. 选择BackupAssist中的设置（Settings）选项卡。
2. 选择CryptoSafeGuard。
3. 取消勾选启用CryptoSafeGuard保护（Enable CryptoSafeGuard protection）旁的勾选框，将禁用CryptoSafeGuard。勾选此框将启用CryptoSafeGuard。

请记住，此设置适用于所有的备份作业。

如果CryptoSafeGuard被禁用，所有当前因为存在潜在勒索软件感染而被阻止的作业都将自动解除阻止。

注意：当您的备份目的地是NAS或网络共享时，应该使用非常好的实践数据安全措施对其进行保护。这意味着只有运行BackupAssist和CryptoSafeGuard的机器才应该有权访问备份所在的文件夹，而这些文件夹应该只允许访问备份用户身份（Backup User Identity）。

CryptoSafeGuard宽限期（Grace Period）

CryptoSafeGuard有一个宽限期，在这个宽限期内，扫描失败的作业将显示一个警告旗帜，而不是阻止所有的作业。这个宽限期使您有时间来审查任何失败的扫描和将任何误报（flase positive）放入白名单。在完成连续3次安全扫描之后，该作业的宽限期将结束，之后任何失败的扫描将导致一个红色警告旗帜，且所有作业将被阻止。

宽限期要点

以下几点阐明了跨备份作业的宽限期是如何运作的：

• 如果在宽限期内有1或2次安全扫描，然后有1次扫描失败，则将需要额外进行连续3次安全扫描，然后该作业的宽限期才会结束。
• 如果一个作业处于其宽限期内，则该作业运行期间的任何勒索软件检测都不会导致各项作业被阻止。
• 如果一个作业超出了其宽限期，且针对该作业检测到了勒索软件，那么所有的作业都将被阻止。
• 如果当前显示了黄色旗标，且一个超出宽限期的作业开始运行，则黄色旗标将转换为红色旗标，且各项作业将被阻止。
• 如果一个作业的各项选择发生变化，该作业的宽限期将恢复，但其他超出宽限期的作业将保持超出宽限期的状态（如果从中检测到勒索软件，作业将被阻止）。

宽限期通知

在旗标/警报状态之间发生切换时，将发送短信（SMS）通知：

• 解除阻止（Unblocked）（无旗标）=> 警告（Warning）（黄色旗标）
• 解除阻止（Unblocked）（无旗标）=> 被阻止（Blocked）（红色旗标）
• 警告（Warning）（黄色旗标）=> 被阻止（Blocked）（红色旗标）

由于黄色旗标不阻止作业，在此状态下运行的任何作业都不会发送短信（SMS），除非在宽限期外的作业检测到勒索软件，导致黄色旗标升级为红色旗标（并发送短信）。

运行手动扫描

备份（Backup）选项卡的主（Home）页上有一个选项是运行CryptoSafeGuard扫描（Run CryptoSafeGuard Scan）。此选项允许您根据需要扫描系统以查找潜在的勒索软件，并将导致误报响应的文件列入白名单。

当您选择此选项时，会打开“手动扫描”（Manual Scan）对话框，允许您选择要扫描的文件和文件夹。选择扫描（Scan）按钮将开始扫描。

当一个备份作业在启用了CryptoSafeGuard的情况下第一次运行时，您可能会得到误报检测结果。在宽限期期间，您将只收到针对旗标标记文件的警告。在进行连续3次彻底扫描之后，宽限期将结束，任何误报或实时检测到的勒索软件结果将导致所有备份作业被阻止。如果更改了备份的各项选择，宽限期将重新开始。

如果您有大量数据或多个作业，那么在运行后台作业之前，运行一次手动扫描来检查整个系统并将任何误报列入白名单，事情可能会变得更容易。

您必须点击BackupAssist的警报旗标，并按照对话框对可能的勒索软件感染进行响应。

电子邮件通知

如果您已经设置了电子邮件服务器设置和电子邮件地址列表，并在备份作业中启用了通知（Notifications）功能，则将发送一份包含BA8000、BA8001或BA8002错误消息的备份报告，以通知您检测结果。

短信（SMS）通知

如果您设置了短信（SMS）通知，当CryptoSafeGuard检测到可能的勒索软件感染时，将发送短信（SMS）警报。启用短信（SMS）通知的步骤如下：

1. 选择BackupAssist的“设置”（Settings）选项卡。
2. 选择CryptoSafeGuard。
3. 在短信号码（SMS Number）字段中输入电话号码，请使用标准国际电话号码格式 “+<国家代码><手机号码>”。
4. 输入此机器的文本标识符或描述，以便您可以轻松识别警报来自哪个BackupAssist安装。

短信测试（SMS Test）

一旦已经以正确的格式输入电话号码，短信（SMS）测试按钮将处于进入活动状态。

点击测试（Test），将向此电话号码发送一条测试信息。

注意：当勒索软件检测更新被添加到CryptoSafeGuard时，一个弹出消息将提醒您，检测更改可能会导致新的警报，如果需要此检测更改，可能需要将额外的文件列入白名单。

您的IT系统管理员对可疑文件的审查应该包括尝试在相关应用程序中打开列出的文件，以查看它们是否仍然可以使用。如果管理员确定您的系统受到了真正的勒索软件感染，您可能需要从上次成功的备份中执行裸机恢复。

对警报进行响应的步骤如下：

1. 点击CryptoSafeGuard旗标。



此操作将打开CryptoSafeGuard用户界面（UI）。如果警报是在CryptoSafeGuard宽限期内发出的，旗标将是黄色的。

2. 确定是否存在勒索软件感染。

为了帮助确定是否存在感染，用户界面（UI）会显示CryptoSafeGuard检测到的所有潜在感染的文件，以便对它们进行审查。

右击一个文件夹将允许你在Windows中打开该文件夹。右击一个文件可以打开该文件所在的文件夹。



3. 选择是（Yes）或者否（No）。

您的IT系统管理员将确定您是否被勒索软件感染，并据此选择“是”（Yes）（有感染）或“否”（No）（无感染）按钮。

确定是否存在感染

要确定你的系统是否受到勒索软件的感染，需要进行超出BackupAssist范围的检查，还需要使用反恶意软件，并尝试打开重要的文档和图像。存在勒索软件感染时通常会在屏幕上显示一条消息。

值得注意的是，第一次运行CryptoSafeGuard时，安全的文件可能会被标记，并需要被列入白名单。而且，在大多数情况下，存在勒索软件感染的第一个迹象是屏幕上出现一个持续的勒索软件消息。

选择“是”（Yes）

如果您选择是（Yes）, 将打开一个对话框，并提示所有备份作业已被阻止，直到感染被解决才会运行。此解决可能涉及到使用RecoverAssist执行完整的系统恢复。在这种情况下，BackupAssist将进行恢复，使您的系统恢复到之前的运行状态。如果您在没有进行恢复的情况下解决了勒索软件感染，警报旗标仍将出现在BackupAssist中。

清除旗标并解除对作业的阻止：

1. 点击旗标
2. 回复否（No）（未被感染）。
3. 点击解除对作业的阻止（Unblock jobs）。

选择“否”（No）。

如果不存在感染，选择否（No）。一个对话框将提示您需要删除检测到的文件或将检测到的文件列入白名单。为了帮助你进行此操作，CryptoSafeGuard的用户界面（UI）中将出现新的按钮。

将所有文件列入白名单

您可以选择将所有文件列入白名单（Whitelist all files），以将所有显示的文件列入白名单并清除。只有您已经检查过文件并知道它们是安全的文件的情况下，才能这么做。操作后将出现一个确认对话框，然后出现另一个对话框通知您将解除对备份作业的阻止。

将部分文件列入白名单

要将被旗标标记的文件列入白名单，可执行以下操作：

1. 右击并选择该文件，或选择该类型的所有文件。

2. 选择将所选文件列入白名单（Whitelist selected files）按钮。

当所有文件从CryptoSafeGuard用户界面（UI）清除后，将出现一个对话框确认您的备份作业将被解除阻止。

被CryptoSafeGuard停止的备份作业不会自动重新运行。您可以手动运行该作业，也可以允许它在下一次计划运行时运行。

解除对作业的阻止

将所有列出的文件列入白名单将自动解除对所有备份作业的阻止。但是，如果您已经采取了手动步骤来解决该感染（如删除文件或从备份中还原文件），那么您将需要单击“解除对作业的阻止”（Unblock jobs）以手动解除对所有作业的阻止。

警告：除非您已经对列出的每个文件进行了列入白名单、删除或还原的操作，否则不能点击解除对作业的阻止（Unblock jobs）选项。如果您没有进行上述操作就使用了“解除对作业的阻止”（Unblock jobs）选项，此作业下次运行时可能仍会导致对这些作业的阻止。

删除文件

您不能使用CryptoSafeGuard的用户界面（UI）删除文件，但是您能访问这些文件，通过右击文件所在的文件夹并选择打开文件夹（Open folder），即可访问。这将在Windows资源管理器中打开该文件夹。

注意：删除被列入白名单的文件时，按住shift键使文件不进入回收站，或删除文件后清空回收站。回收站中的白名单文件可能仍会触发CryptoSafeGuard警告。

可能的感染检测结果：没有白名单选项

在没有检测到您正在备份的文件中存在感染时，CryptoSafeGuard可能也会生成一个勒索软件可疑警报，并显示旗标。如果CryptoSafeGuard检测到与勒索软件感染相一致的特定行为模式，就可能发生这种情况。如果发生这种情况，单击警报旗标，将打开下面的对话框。

没有要列入白名单或删除的文件，所以您必须检查您的系统是否有感染的迹象。

您可以通过以下方式对系统进行检查：

• 检查桌面背景是否改变，因为勒索软件通常会删除桌面壁纸。
• 检查所有打开的窗口和桌面是否有勒索软件通知对话框。
• 取样检查你本地驱动器上的图像文件（png、jpg等）和文档（doc、docx、xls等），检查它们是否仍然可以打开。

根据您是否发现勒索软件感染，选择是（Yes）或否（No）。选择“否”（No）将解除对作业的阻止，而不需要删除文件或将文件添加到白名单。选择“是”（Yes）将阻止所有作业，以便备份不会被您系统上发现的勒索软件感染。

如何访问“管理白名单”（Manage Whitelist）字段

执行以下步骤：

1. 选择BackupAssist的设置（Settings）选项卡。
2. 选择 CryptoSafeGuard。
3. 选择白名单（Whitelist）选项卡。

如何修改白名单部分

“管理白名单”（Manage Whitelist）部分允许您添加、修改和删除列入白名单的文件、目录和文件扩展名（file extensions）。任何出现在CryptoSafeGuard警报对话框中且被列入白名单的文件都会自动出现在这里。

被忽略的文件路径

此字段用于管理列入白名单的文件。使用添加（Add）按钮浏览并添加文件，使用删除（Remove）按钮从列表中删除所选文件。选择编辑（Edit）将允许您手动编辑条目，或者从条目位置进行浏览。在进行手动更改后选择保存（Save）。

忽略的目录

此字段用于管理列入白名单的目录，列入白名单的目录将导致从CryptoSafeGuard扫描中排除该白名单目录内的所有文件。使用添加（Add）按钮浏览到目录并添加目录，使用删除（Remove）按钮从列表中删除所选目录。选择编辑（Edit）将允许您手动编辑条目，或者从条目位置进行浏览。在进行手动更改后选择保存（Save）。

忽略的文件扩展名

此字段用于管理列入白名单的文件扩展名，列入白名单的文件扩展将导致从CryptoSafeGuard扫描中排除所有具有该扩展名的文件。

添加文件扩展名的步骤如下：

1. 选择添加（Add）
2. 输入文件扩展名。不要包含句号或通配符号。例如，输入txt。不要输入.txt或*.txt。
3. 选择添加（Add）。
4. 对每个文件扩展名重复此过程。不要将多个扩展名作为单个条目输入。

使用删除（Remove）按钮来从列表中删除选择的文件扩展名，使用编辑（Edit）选项来编辑现有的条目。在进行手动更改后选择保存（Save）。

注意：将文件和文件夹添加到白名单中意味着当备份作业启动时，它们将被排除在CryptoSafeGuard的扫描之外。只将扫描运行时创建误报响应或预期会创建误报响应的文件列入白名单列，这一点非常重要。

Hyper-V Server

当在Hyper-V主机上安装BackupAssist来备份客户机（vm）时，CryptoSafeGuard会在备份客户机之前扫描客户机的内容。但是，只扫描基本分区的卷，不扫描动态分区的卷（例如条带stripping和捆绑spanning）。

在Windows Server 2008和Windows Server 2008 R2系统上，（从BackupAssist 10.1.3开始）Hyper-V客户机在CryptoSafeGuard检测期间不会被扫描。客户机扫描依赖于及时创建和清理Hyper-V检查点及其相应的avhd文件，而这在这些较老的操作系统上无法保证。

扫描客户机时只支持本地支持的文件系统。这意味着ext3之类的Linux文件系统不会在客户机内部进行扫描，除非主机上有支持该文件系统的驱动程序。

SQL Server

目前不对SQL保护（SQL Protection）作业运行CryptoSafeGuard检测。