其他 AV/EDR 供应商将 Vsshelper 标记为恶意软件
问题
作为 Endpoint Central 反勒索软件组件的 Vsshelper.exe 被安全应用程序标记为恶意软件。
原因
Vsshelper 保留影子存储空间 并且 创建定期备份,尽管该二进制文件由 ManageEngine 的母公司 Zoho Corporation 签名,安全供应商仍可能错误地将其标记为恶意。
为什么 vsshelper 要创建定期备份?
勒索软件攻击——如我们所知,目标是系统中的文件,感染并加密它们。为应对攻击,vsshelper 定期创建备份,用于将被感染的文件恢复到最近的备份状态。
vsshelper 的功能 :
- 创建备份。
- 设置最大影子存储空间
- 下载程序数据库
解决方案
将 vsshelper.exe 加入白名单/将 vsshelper.exe 标记为误报。
vsshelper.exe 的签名详情:
- 已验证:签名者签署:ZOHO Corporation Private Limited
- 证书状态:有效
- 有效用途:代码签名
- 证书颁发者:Sectigo RSA Code Signing
- CA 序列号:00 D1 9D B1 A5 42 FF D3 D9 9B 83 20 8F E9 E8 0F E3
- 指纹:0CFE8E393E639170AEB1AC4CB8928258z45FF36C
- 算法:sha256RSA
- 公司:Zoho Corporation Pvt. Ltd
- 描述:MEEDRVssHelper.exe
- 产品:EDR Prod 版本:1.0.0.1
- 文件版本:1.0.0.1
- 机器类型:64 位
了解更多关于 Endpoint Central 的反勒索软件信息
