Innholdsfortegnelse:
- Attack of the Ransomware
- Diskkryptering Ransomware
- Simulert Ransomware Conundrum
- Andre arenaer
- Bukseseler og belte
Video: Cybereason RansomFree Review (Oktober 2024)
Hvis antiviruset ditt ikke klarer å fange en datastjålende trojan, kan du få et nytt kredittkort. Hvis et faktisk virus kommer forbi forsvaret, bør et aggressivt opprydningsverktøy ta seg av problemet. Men hvis antiviruset ditt savner et ransomware-angrep, kan du miste alle dokumentene dine, eller til og med miste tilgangen til datamaskinen din. Det er her Cybereasons RansomFree kommer inn. Dette gratis, dedikerte verktøyet for ransomware-beskyttelse fungerer sammen med din eksisterende antivirusprogramvare. Den fokuserer 100 prosent på å oppdage og forhindre angrep av ransomware ved å se etter atferd som er vanlige for disse angrepene. Når du tester, med ekle, virkelige verden malware-prøver, blir det jobben gjort.
Medlemmer av Cybereason-teamet fikk sin trening i elitenhet 8200 av det israelske etterretningskorpset, et team dedikert til cybersecurity. De kuttet tennene på cyberattacker på militært nivå, og de leverer nå high-end forsvar til store selskaper inkludert SoftBank, Vizio og Lockheed Martin. Da ransomware-epidemien begynte å sette flere forbrukere i fare, bestemte selskapets administrerende direktør å trekke ut ransomware-komponenten fra hele Cybereason-sikkerhetspakken og gi den ransomware-beskyttelsen til forbrukerne gratis. Små bedrifter kan også bruke det; større bedrifter bør vurdere fullskala Cybereason-tjenesten.
Rett etter installasjonen begynner RansomFree å beskytte systemet ditt mot ransomware. Det kjører i bakgrunnen, og ser etter atferd spesifikt for ransomware. Som en del av denne prosessen oppretter den "agn" -filer på førsteklasses steder som skrivebordet og mappen Dokumenter. Det er ingen antivirus signaturer; RansomFree er avhengig av atferdsbasert deteksjon.
Attack of the Ransomware
RansomFree var blant de første ransomware-spesifikke sikkerhetsverktøyene som jeg gjennomgikk i fjor. På den tiden hadde jeg bare et par prøver fra den virkelige verden, pluss håndmodifiserte varianter av disse. Jeg har nå et halvt dusin prøver som dekker forskjellige ransomware-familier. RansomFree oppdaget og blokkerte dem alle.
Når det oppdager en prosess som fungerer som ransomware, suspenderer RansomFree prosessen og viser en stor advarsel. Du klikker Ja for å avslutte prosessen og rydde opp i eventuelle problemer. Du kan også klikke Nei, men det anbefaler jeg ikke. Det er en kobling for å se alle filer som er opprettet, endret eller slettet av den krenkende prosessen. Gjennomgå denne informasjonen, kunne jeg for eksempel se at en angriper opprettet en kjørbar fil med et tilfeldig navn rett i mappen Dokumenter, og overførte kontrollen til det programmet. En annen slettet tilstedeværelsen på disken etter at den ble lastet inn i minnet.
I noen tilfeller dukket RansomFree opp to eller til og med tre ganger; Jeg har alltid klikket Ja. Ved ferdigstillelse advarte den om at løsepengene kan ha etterlatt seg en løsepenger eller annen detritus som du må rydde opp manuelt. Jeg fant faktisk løsepenger i et par tilfeller.
Jeg har hatt et par produkter som ikke klarte å forhindre et ransomware-angrep som ble lansert ved oppstart av Windows. IObit Advanced SystemCare Ultimate er et eksempel, og det samme er gratis CyberSight RansomStopper. Da jeg konfigurerte en ransomware-prøve til start ved oppstart, hadde RansomFree ingen problemer med å oppdage og avslutte den.
Jeg har på hånden en liten, enkel ransomware-simulator, et program jeg skrev selv. Alt det gjør er å finne tekstfilene i mappen Dokumenter og bruke XOR-kryptering på dem. Denne teknikken vipper ganske enkelt alle bitene til null og alle nullbitene til en; bruker den en gang gang dekrypterer filen. Dette viste seg å være for enkle å se til at RansomFree legger merke til, og faktisk er det ikke virkelig ødeleggende. Ganske mange andre konkurrerende verktøy ignorerte min FakeCryptor, blant dem Acronis og CryptoDrop Anti-Ransomware.
Diskkryptering Ransomware
Den vanligste typen ransomware krypterer viktige filer, men lar datamaskinen fungere. Det gir perfekt mening, fordi offeret trenger internett og datamaskintilgang for å betale løsepenger. Det er imidlertid en annen, mindre vanlig type som utfører hele diskkryptering, og effektivt murer enheten til du betaler opp. Den beryktede Petya ransomware er en slik, og jeg har klart å snare en Petya-prøve.
Atferdsbaserte verktøy for ransomware-beskyttelse beskytter ikke nødvendigvis mot denne typen angrep. Av de fire andre produktene jeg har testet siden jeg fikk Petya-prøven, forhindret Acronis og RansomStopper et Petya-angrep, men Malwarebytes Anti-Ransomware Beta og CryptoDrop gjorde det ikke.
Et blogginnlegg fra Cybereason fikk meg til å tenke at RansomFree kan stoppe Petya. Da jeg lanserte prøven, fortsatte den imidlertid å krasje systemet og kjørte en late reparasjonsnivå på lavt nivå på omstart. I virkeligheten var det å kryptere disken, og ikke reparere den. Det er verdt å merke seg at diskkryptering av ransomware er mye mindre vanlig enn filkrypteringstypen, og at antiviruset ditt mest sannsynlig vil fange det før det kan skade.
Simulert Ransomware Conundrum
KnowBe4 er et selskap som er mer kjent for sine antiphishing-trening enn for produkter, men tilbyr gratis RanSim Ransomware Simulator. Uten å berøre noen av dine egne dyrebare filer, simulerer RanSim de ti vanligste ransomware-teknikkene, i tillegg til to uskyldige relaterte teknikker som ransomware-beskyttelse ikke bør blokkere.
Jeg installerte RanSim på testsystemet og kjørte testsekvensene, med skuffende resultater. RansomFree avstod riktig fra å forstyrre de to falsk-positive scenariene, men det gjorde heller ingenting for å blokkere de 10 ransomware-scenariene.
Etter litt graving, hodeskraping og konfiguration med både Cybereason og KnowBe4, kom jeg til å forstå problemet. RanSim legger testfilene sine i mapper i mapper, fire nivåer under mappen Dokumenter. Å kryptere slike filer uten å berøre det faktiske innholdet i Dokumenter-mappen er bare ikke en oppførsel som samsvarer med ransomware fra den virkelige verden. Så RansomFree ignorerer det. Akronis blokkerte alle 10 scenarier, og Malwarebytes fikk åtte. Andre utslettet hele testplattformen, noe som betyr at den ikke kunne rapportere noen resultater.
Andre arenaer
Ransomware er et alvorlig problem, så det er ikke overraskende at andre selskaper har utviklet sine egne metoder for å bekjempe det. All malware-deteksjon i Webroot SecureAnywhere AntiVirus er basert på atferd, ikke bare gjenkjenning av ransomware. Antiviruset utsletter umiddelbart enhver prosess som samsvarer med en eksisterende adferdsprofil for skadelig programvare. Hvis det ikke er 100 prosent klart at en mistenkt prosess er skadelig, journalfører Webroot sine lokale handlinger og virtualiserer alle ikke-reversible handlinger, for eksempel å sende informasjon ut over internett. Når den skybaserte analysen senere identifiserer den mistenkte prosessen som skadelig programvare, bruker den lokale klienten journaldataene for å reversere alle handlinger etter den prosessen, inkludert reversering av krypteringshandlingene utført av ransomware.
Du må kjøpe hele Panda Internet Security-pakken for å få ransomware-beskyttelse fra Panda; frittstående antivirus inkluderer ikke Data Shield-komponenten. Data Shield tar sikte på å beskytte dine dyrebare dokumenter mot all uautorisert tilgang, slik at ransomware ikke kan kryptere filene dine, og trojanere kan ikke stjele dataene dine. Hvis Panda oppdager et tilgangsforsøk fra et hvilket som helst uautorisert program, spør den deg om du vil tillate det. Naturligvis vil du gi tillatelse til den nye tekstbehandleren du nettopp installerte, men hvis forespørselen kommer ut av det blå, så nekt det!
Trend Micro Antivirus + Security og Avast Internet Security er blant de andre produktene som folierer ransomware ved å forhindre uautorisert filendring. De forhindrer imidlertid ikke skrivebeskyttet tilgang slik Panda gjør.
I området verktøy som er spesielt designet for å bekjempe malware, bruker nesten alle atferdsbasert deteksjon. Bitdefender Anti-Ransomware er et unntak; det fungerer ved å undergrave ransomwarens egne teknikker for å unngå dobbel kryptering, "vaksinere" systemet slik at ransomware tror det allerede har gjort jobben sin.
Check Point ZoneAlarm Anti-Ransomware supplerer atferdsbasert gjenkjenning med et system for å gjenopprette filer som kan ha blitt kryptert før deteksjonen ble startet. Ved tester gjorde den en perfekt jobb, og eliminerte de spredte løsepengene.
Med Acronis Ransomware Protection får du 5 GB skylagring for dine sensitive filer. Hvis ransomware krypterer en fil eller to før deteksjon, gjenoppretter Acronis ganske enkelt fra den beskyttede sikkerhetskopien. Hvis 5 GB viser seg å være utilstrekkelig, kan du alltid oppgradere til selskapets Acronis True Image sikkerhetskopitjeneste, som naturlig nok inkluderer anti-ransomware-komponenten.
Trend Micro RansomBuster går helt ut og kjemper mot ransomware på flere fronter. Folder Shield blokkerer modifisering av sensitive filer, den bruker atferdsbasert gjenkjenning, og den gjenoppretter filer fra sikker lagring om nødvendig. Da jeg slo av Folder Shield for testing, gikk den atferdsbaserte deteksjonen imidlertid glipp av flere prøver.
Bukseseler og belte
RansomFree er, som navnet antyder, gratis, og da vi testet det med ekte ransomware fra ekte verden, gjorde det jomansk service. Det er ikke på noen måte en universell løsning, men det er et verdig tillegg til ditt generelle verktøy for beskyttelse mot skadelig programvare. Jeg har installert den på min viktigste produksjons-PC, og jeg vil foreslå at du vurderer å legge den til eller et annet gratis ransomware-beskyttelsesverktøy for å supplere antivirusbeskyttelsen i full skala.
Check Point ZoneAlarm Anti-Ransomware er vårt redaktørers valg for ransomware-spesifikk sikkerhet. Selv om det ikke er gratis, er det heller ikke dyrt. Den beskyttet mot alle våre ransomware-prøver og gjenopprettet filer etter behov, uten å steke agnfiler rundt i systemet.