Dúvida
Após instalar o EDR nos dispositivos estão aparecendo algumas pastas estranhas nos drives C: e E:
Estas pastas possuem vários dígitos, e os arquivos são pequenos, do tipo texto (pdf, txt ou doc)
Última modificação
- 26/09/2023
Solução
Isto ocorre devido a uma alteração de armazenamento dos arquivos decoy/honeypot, que são criados pelo Agente do SentinelOne, geralmente encontrados na unidade C e/ou unidade E. Para verificar isso, você pode verificar as propriedades do arquivo e checar se o Agente do Sentinel está listado como Proprietário para esses arquivos.
Isto não é um problema e sim um comportamento esperado do EDR.
Antes da versão 21.6 do Agente, os arquivos decoy eram criados nas pastas %user%\Documents\afterSentDocuments e %user%\Appdata\Local\afterSentDocuments. A partir da versão 21.6 do Agente, os arquivos são gerados em novas pastas falsas, em C:\, C:\Users e em pastas compartilhadas. Os nomes das novas pastas decoy (chamariz) começam com o caractere $ e são seguidos por 32 caracteres hexadecimais aleatórios.
A pasta afterSentDocument contém arquivos decoy para ajudar o Agente a detectar a criptografia de Ransomware (a pasta não está oculta e é instalada para cada perfil de usuário). O método proposto é baseado na análise do comportamento do Ransomware existente no nível do código-fonte.
Por mais que você tenha a possibilidade de excluir estes arquivos e pastas não tente excluí-los ou modificá-los, pois conforme citado anteriormente, eles são projetados para ajudar no caso de Ransomware (onde os arquivos não são excluídos, mas são criados com uma extensão diferente). A pasta é apenas um mecanismo de todos os mecanismos e identificação de outros mecanismos do Sentinel One para proteger os sistemas de vários ataques e especialmente de ataques de Ransomware.
O tamanho dos arquivos também é pequeno (média de 25kb), portanto não deve ocupar um espaço significativo no dispositivo, o que acaba não interferindo na seleção total do backup caso tenha o disco C: selecionado por inteiro.
Comentários
0 comentário
Por favor, entre para comentar.