×
Academia Ciberprotegido

Documentación

Protección activa antivirus y antimalware

Active Protection protege el sistema del ransomware y del malware de minado de criptomonedas.

Para obtener más información sobre cómo crear un plan de protección con el módulo de protección antimalware y antivirus, consulte «Creación de un plan de protección».

Se pueden establecer los siguientes ajustes en el módulo de protección antivirus y antimalware.

Active Protection

Active Protection protege el sistema del ransomware y del malware de minado de criptomonedas. El ransomware cifra los archivos y pide un rescate para obtener la clave de encriptación. El malware de criptominado lleva a cabo cálculos matemáticos en segundo plano. De esta manera, roba potencia de procesamiento y tráfico de red.

En las ediciones Cyber Backup de Acronis Cyber Protect, Active Protection es un módulo independiente del plan de protección. Por lo tanto, se puede configurar de forma independiente y aplicar a distintos dispositivos o grupos de dispositivos. En las ediciones Protect de Acronis Cyber Protect, Active Protection es parte del módulo de protección antivirus y antimalware.

Active Protection está disponible para los equipos que ejecutan los siguientes sistemas operativos:

  • Sistemas operativos de escritorio: Windows 7 Service Pack 1 y posteriores
    En equipos que ejecutan Windows 7, asegúrese de que está instalada la actualización para Windows 7 (KB2533623).
  • Sistemas operativos de servidor: Windows Server 2008 R2 y posterior.

El Agente para Windows debe instalarse en el equipo.

Cómo funciona

Active Protection controla los procesos que se ejecutan en el equipo protegido. Si el proceso de un tercero intenta cifrar algún archivo o minar criptomonedas, Active Protection genera una alerta y lleva a cabo otras acciones, si así se ha especificado en la configuración.

Además, Active Protection evita los cambios no autorizados en los procesos propios del software de copia de seguridad, los archivos de registro, los archivos ejecutables y de configuración y las copias de seguridad que se encuentran en las carpetas locales.

Para identificar los procesos maliciosos, Active Protection utiliza la heurística basada en el comportamiento. Active Protection compara la cadena de acciones realizadas por un proceso con las cadenas de eventos registradas en la base de datos de patrones de conducta maliciosos. Este enfoque permite a Active Protection detectar malware nuevo identificando su comportamiento típico.

Configuración predeterminada: Habilitado.

Configuración de Active Protection

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar una actividad de ransomware y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Solo notificar
    El software generará una alerta sobre el proceso.
  • Detener el proceso
    El software generará una alerta y detendrá el proceso.
  • Revertir usando la caché
    El software generará una alerta, detendrá el proceso y revertirá los cambios de los archivos usando la caché de servicios.

Configuración predeterminada: Revertir usando la caché.

Protección de carpetas de red

La opción Proteger carpetas de red asignadas como dispositivos locales define si la protección antimalware y antivirus protege las carpetas de la red que están asignadas como dispositivos locales de los procesos maliciosos locales.

Esta opción se aplica a carpetas compartidas por protocolos SMB o NFS.

Si un archivo se encontraba al principio en un dispositivo asignado, no se puede guardar en la ubicación original cuando se extraiga de la caché mediante la acción Revertir usando la caché. En su lugar, se guardará en la carpeta especificada en la configuración de esta opción. La carpeta predeterminada es C:\ProgramData\Acronis\Restored Network Files. Si esta carpeta no existe, se creará. Si quiere cambiar la ruta, especifique una carpeta local. No se admiten carpetas de red, ni siquiera las de dispositivos asignados.

Configuración predeterminada: Habilitado.

Protección del servidor

Esta opción define si la protección antimalware y antivirus protege las carpetas de la red que comparte de conexiones entrantes externas de otros servidores de la red que puedan suponer amenazas.

Configuración predeterminada: Deshabilitado.

Configuración de confianza y conexiones bloqueadas

En la pestaña De confianza, puede especificar las conexiones que tienen permitido modificar cualquier dato. Debe definir el nombre de usuario y la dirección IP.

En la pestaña Bloqueado, puede especificar las conexiones que no podrán modificar ningún dato. Debe definir el nombre de usuario y la dirección IP.

Autoprotección

Autoprotección evita los cambios no autorizados en los procesos propios del software, los archivos de registro, los archivos ejecutables y de configuración y las copias de seguridad que se encuentran en las carpetas locales. No recomendamos deshabilitar esta función.

Configuración predeterminada: Habilitado.

Permitir que procesos específicos modifiquen las copias de seguridad

La opción Permitir que procesos específicos modifiquen las copias de seguridad es efectiva cuando está habilitada la opción Autoprotección.

Se aplica a los archivos cuyas extensiones son .tibx, .tib o .tia y que se encuentran en carpetas locales.

Con esta opción, puede especificar los procesos que se siguen para modificar los archivos incluidos en la copia de seguridad, aunque estén protegidos por la autoprotección. Esto es útil, por ejemplo, si elimina archivos de copia de seguridad o los traslada a una ubicación diferente con una secuencia de comandos.

Si esta opción está deshabilitada, solo los procesos firmados por el proveedor del software de la copia de seguridad pueden modificar los archivos incluidos en ella. Así, el software puede aplicar reglas de retención y eliminar copias de seguridad cuando un usuario lo solicite desde la interfaz web. Otros procesos no podrán llevar a cabo modificaciones en ellas, sin importar si son sospechosos o no.

Si esta opción está habilitada, puede permitir que otros procesos modifiquen las copias de seguridad. Especifique la ruta completa al ejecutable del proceso, empezando por la letra de unidad de disco.

Configuración predeterminada: Deshabilitado.

Detección del proceso de criptominería

Esta opción define si la protección antivirus y antimalware detecta posibles casos de malware de criptominado.

El malware de criptominado afecta al rendimiento de aplicaciones de utilidad, aumenta las facturas de la electricidad, puede provocar que el sistema falle e, incluso, dañar el hardware debido a su explotación. Le recomendamos que añada el malware de criptominería a la lista de procesos peligrosos para evitar que se ejecute.

Configuración predeterminada: Habilitado.

Configuración de detección de procesos de criptominería

Seleccione la acción que el software deberá realizar al detectar una actividad de criptominería y, a continuación, haga clic en Realizado. Puede seleccionar una de las siguientes opciones:

  • Solo notificar
    El software genera una alerta del proceso sospechoso de actividad de criptominería.
  • Detener el proceso
    El software genera una alerta y detiene el proceso sospechoso de actividad de criptominería.

Configuración predeterminada: Detener el proceso.

Cuarentena

La carpeta Cuarentena sirve para conservar los archivos sospechosos (posiblemente infectados) o potencialmente peligrosos en un lugar aislado.

Eliminar archivos en cuarentena después de: define el periodo en días tras el que se eliminarán los archivos que están puestos en cuarentena.

Configuración predeterminada: 30 días.

Detección del comportamiento

Acronis Cyber Protect protege su sistema con heurística del comportamiento para identificar procesos maliciosos: compara la cadena de acciones realizadas por un proceso con las cadenas de acciones registradas en la base de datos de patrones de conducta maliciosos. De esta forma, el nuevo malware se detecta por su comportamiento típico.

Configuración predeterminada: Habilitado.

Configuración de la detección del comportamiento

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar una actividad de malware y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Solo notificar
    El software generará una alerta del proceso sospechoso de actividad de malware.
  • Detener el proceso
    El software generará una alerta y detendrá el proceso sospechoso de actividad de malware.
  • Cuarentena
    El software generará una alerta, detiene el proceso y traslada el archivo ejecutable a la carpeta de cuarentena.

Configuración predeterminada: Cuarentena.

Protección en tiempo real

La protección en tiempo real comprueba de forma constante el sistema de su equipo en busca de virus y otras amenazas mientras el sistema esté encendido.

Configuración predeterminada: Habilitado.

Configuración de la acción sobre la detección para la protección en tiempo real

En Acción sobre la detección, seleccione la acción que el software deberá realizar al detectar un virus u otra amenaza maliciosa y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Bloquear y notificar
    El software bloquea el proceso y genera una alerta del proceso sospechoso de actividades de malware.
  • Cuarentena
    El software genera una alerta, detiene el proceso y traslada el archivo ejecutable a la carpeta de cuarentena.

Configuración predeterminada: Cuarentena.

Configuración del modo de análisis para la protección en tiempo real

En el Modo de análisis, seleccione la acción que el software deberá realizar al detectar un virus u otra amenaza maliciosa y, a continuación, haga clic en Realizado.

Puede seleccionar una de las siguientes opciones:

  • Análisis en acceso: supervisa todas las actividades del sistema y analiza automáticamente los archivos cuando se accede a ellos para su lectura o escritura, o cuando se inicia un programa.
  • Análisis en ejecución: escanea de forma automática archivos ejecutables únicamente cuando se inician para garantizar que estén limpios y que no causarán ningún daño al equipo o a los datos.

Configuración predeterminada: En acceso inteligente.

Planificar análisis

Puede definir la planificación según la cual se comprobará si hay malware en su equipo. Para ello, habilite la configuración Planificar análisis.

Acción sobre la detección:

  • Cuarentena
    El software genera una alerta y traslada el archivo ejecutable a la carpeta de cuarentena.
  • Solo notificar
    El software genera una alerta del proceso sospechoso de ser malware.

Configuración predeterminada: Cuarentena.

Tipo de análisis:

  • Completo
    El análisis completo tarda mucho tiempo en terminar en comparación con el análisis rápido porque se comprueban todos los archivos.
  • Rápido
    El análisis rápido solo comprueba las zonas comunes en las que suele residir el malware en el equipo.

Puede planificar tanto el análisis rápido como el completo en un plan de protección.

Configuración predeterminada: Se ha programado el escaneado Rápido y Completo.

Planifique la ejecución de tareas con los siguientes eventos:

  • Planificar por tiempo: la tarea se ejecutará según el tiempo especificado.
  • Cuando el usuario inicia sesión en el sistema: de forma predeterminada, el inicio de sesión de cualquier usuario iniciará la tarea. Puede modificar esta configuración para que únicamente una cuenta de usuario concreta pueda activar la tarea.
  • Cuando el usuario cierra sesión en el sistema: de forma predeterminada, cuando cualquier usuario cierre sesión se iniciará la tarea. Puede modificar esta configuración para que únicamente una cuenta de usuario concreta pueda activar la tarea.
    *La tarea no se ejecutará al apagarse el sistema. Apagar y cerrar sesión son dos acciones diferentes de la configuración de la programación.
  • Al iniciarse el sistema: la tarea se ejecutará cuando el sistema operativo se inicie.
  • Al apagarse el sistema: la tarea se ejecutará cuando el sistema operativo se apague.

Configuración predeterminada: Planificar por hora.

Tipo de planificación:

  • Mensualmente : seleccione los meses y las semanas o días del mes en los que se ejecutará la tarea.
  • Diariamente : seleccione los días de la semana en los que se ejecutará la tarea.
  • Cada hora: seleccione los días de la semana, el número de repeticiones y el intervalo de tiempo en los que se ejecutará la tarea.

Configuración predeterminada: Diariamente.

Iniciar a las : seleccione la hora exacta a la que se ejecutará la tarea.

Ejecutar dentro de un intervalo de fechas: Establezca un rango en el que la planificación configurada sea efectiva.

Condiciones de inicio: defina todas las condiciones que se deben cumplir de forma simultánea para que se ejecute la tarea.

Las condiciones de inicio para el análisis antimalware son similares a las de inicio del módulo de copia de seguridad que se describen en Condiciones de inicio. Puede definir las siguientes condiciones de inicio adicionales:

  • Distribuir las horas de inicio de la tarea en un período de tiempo: esta opción le permite establecer el plazo de tiempo de la tarea para evitar cuellos de botella en la red. Puede especificar el retraso en horas o minutos. Por ejemplo, si la hora de inicio predeterminada son las 10:00 y el retraso es de 60 minutos, la tarea empezará entre las 10:00 y las 11:00.
  • Si el equipo está apagado, ejecutar las tareas perdidas al iniciar el equipo
  • Evitar el modo de suspensión o hibernación durante la ejecución de una tarea: esta opción solo se aplica en equipos que ejecuten Windows.
  • Si no se cumplen las condiciones de inicio, ejecutar la tarea de todos modos después de: especifique el periodo tras el que se ejecutará la tarea, sin importar el resto de las condiciones de inicio.

Analizar únicamente archivos nuevos y modificados: solo se analizarán los archivos que se hayan creado recientemente y los que se hayan modificado.

Configuración predeterminada: Habilitado.

Al planificar un Análisis completo, tiene dos opciones adicionales:

  • Analizar archivos del archivo comprimido
    Configuración predeterminada: Habilitado.

    • Máxima profundidad de recursión
      Número de niveles de archivos incrustados que se pueden analizar. Por ejemplo, documento MIME > archivo zip > archivo comprimido de Office > contenido del documento.
      Configuración predeterminada: 16.
    • Tamaño máx.
      Tamaño máximo de los archivos de un archivo comprimido que se vaya a escanear.
      Configuración predeterminada: Ilimitada.
  • Analizar unidades extraíbles
    Configuración predeterminada: Deshabilitado.

    • Unidades de red asignadas (remotas)
    • Dispositivos de almacenamiento USB (como unidades flash y discos duros externos)
    • CD/DVD

Exclusiones

Para minimizar los recursos usados por el análisis heurístico y para eliminar los llamados falsos positivos, cuando un programa de confianza se considera ransomware, puede definir la configuración siguiente:

En la pestaña De confianza, puede especificar:

  • Los procesos que nunca se considerarán malware. Los procesos firmados por Microsoft siempre son de confianza.
  • Las carpetas en las que no se controlarán los cambios de archivos.
  • Los archivos y las carpetas en las que no se realizarán los análisis planificados.

En la pestaña Bloqueado, puede especificar:

  • Los procesos que se bloquearán siempre. Estos procesos no podrán iniciarse mientras Active Protection esté habilitado en el equipo.
  • Las carpetas en las que se bloqueará cualquier proceso.

Especifique la ruta completa al ejecutable del proceso, empezando por la letra de unidad de disco. Por ejemplo: C:\Windows\Temp\er76s7sdkh.exe.

Para especificar carpetas, puede utilizar los caracteres comodín * y ?. El asterisco (*) sustituye a cero o más caracteres. El signo de pregunta (?) sustituye exactamente un carácter. No pueden usarse variables de entorno, como %AppData%.

Configuración predeterminada: no se define ninguna exclusión de forma predeterminada.

Filtrado de URL

Consulte Filtrado de URL para obtener una descripción detallada.

Etiquetas: , , ,