Innholdsfortegnelse:
- Ransomware-beskyttelse
- Forsiktig, Live Ransomware
- Boot-Time Fanger løst
- Andre teknikker
- Nå en vinner
Video: RansomStopper by CyberSight (Oktober 2024)
Ransomware-beskyttelse
Når RansomStopper oppdager et ransomware-angrep, avslutter det den fornærmede prosessen og dukker opp en advarsel i varslingsområdet. Ved å klikke på advarselen kan du se hvilken fil som forårsaket problemet. Det er et alternativ å fjerne programmer fra listen over blokkerte prosesser, sammen med en advarsel om at det er en dårlig ide.
Å vente på å oppdage ransomware-oppførsel kan noen ganger bety at ransomware krypterer noen få filer før terminering. Da jeg testet Malwarebytes, mistet den noen få filer på denne måten. Check Point ZoneAlarm Anti-Ransomware gjenoppretter aktivt alle krypterte filer. I testen min gjorde det det for hver prøve fra ransomware. RansomStopper stoppet imidlertid de samme prøvene uten å tillate kryptering av noen filer.
For en rask tilregnelighetskontroll lanserte jeg et enkelt falske ransomware-program som jeg skrev selv. Alt det gjør er å se etter tekstfiler i og under Dokumenter-mappen og kryptere dem. Den bruker en enkel, reversibel chiffer, så en andre kjøring gjenoppretter filene. RansomStopper fanget den og forhindret dets sjikans. Så langt så bra.
Forsiktig, Live Ransomware
Den eneste sikre måten å teste atferdsbasert ransomware-beskyttelse er ved å bruke live ransomware. Jeg gjør dette veldig forsiktig, og isolerer mitt virtuelle maskintestesystem fra alle delte mapper og fra internett.
Denne testen kan være opprivende hvis anti-ransomware-produktet ikke oppdager det, men RansomStopper-testen min gikk greit. Som ZoneAlarm og Malwarebytes, fanget RansomStopper alle prøvene, og jeg fant ingen filer som er kryptert før atferdsdeteksjon startet. Cybereason RansomFree gjorde det ganske bra, men det gikk glipp av en.
Jeg tester også ved hjelp av KnowBe4s RanSim, et verktøy som simulerer 10 typer ransomware-angrep. Suksess med denne testen er nyttig informasjon, men svikt kan ganske enkelt bety at den atferdsbaserte deteksjonen korrekt bestemte at simuleringene ikke er ekte ransomware. I likhet med RansomFree, ignorerte RansomStopper simuleringene.
Boot-Time Fanger løst
Å holde seg under radaren er en stor avtale for ransomware. Når det er mulig, gjør det sine skitne handlinger stille, og kommer bare frem med løsepengebehovet etter å ha kryptert filene dine. Å ha administratorrettigheter gjør jobben til ransomware enklere, men å komme til dette punktet krever vanligvis tillatelse fra brukeren. Det er løsninger for å få disse privilegiene lydløst. Disse inkluderer å arrangere å sparke tilbake på Winlogon-prosessen på starttid, eller angi en planlagt oppgave for starttid. Vanligvis ordner ransomware bare med å starte ved oppstart og deretter tvinger en omstart, uten å utføre noen krypteringsoppgaver.
I min tidligere testing fant jeg ut at ransomware kunne kryptere filer ved oppstart før RansomStopper startet. Mitt eget falske krypteringsprogram klarte den bragden. Den krypterte alle tekstfiler i og under Dokumenter-mappen, inkludert RansomStoppers agn-tekstfiler. (Ja, disse filene er i en mappe som RansomStopper skjuler aktivt, men jeg har metodene mine…) Den savnet også en ekte ransomware-prøve som jeg satte opp for å starte ved oppstart.
CyberSights designere testet en rekke løsninger for dette problemet og ga ut en ny versjon som kommer foran ransomware for oppstart. Jeg testet det; det fungerer, og fjerner den ene flekken på RansomStoppers nå-sterling testresultater.
RansomFree kjører som en tjeneste, så den er aktiv før en vanlig prosess. Da jeg utførte den samme testen og satte en ransomware-prøve fra den virkelige verden til start ved oppstart, fanget RansomFree den også. Malwarebytes besto også denne testen. RansomBuster oppdaget boot-time-angrepet og gjenopprettet de berørte filene.
For å utforske dette problemet ytterligere, fikk jeg et utvalg av Petya ransomware som forårsaket problemer tidligere i år. Denne spesielle belastningen krasjer systemet og simulerer deretter reparasjon av oppstart av CHKDSK. Hva det faktisk gjør er å kryptere harddisken. Malwarebytes, RansomFree og RansomBuster klarte ikke alle å forhindre dette angrepet. RansomStopper fanget den før den kunne forårsake systemkrasj - imponerende! ZoneAlarm forhindret også Petyias angrep. For å være rettferdig overfor de andre er denne ikke en typisk filkrypterende ransomware. Snarere låser det hele systemet ved å kryptere harddisken.
Når jeg spurte om kontaktene mine, lærte jeg at angrep på oppstart av ransomware, inkludert Petya, blir mindre vanlig. Likevel har jeg lagt denne testen til repertoaret mitt.
Andre teknikker
Atferdsbasert gjenkjenning, når den implementeres riktig, er en utmerket måte å bekjempe ransomware. Imidlertid er det ikke den eneste måten. Trend Micro RansomBuster og Bitdefender Antivirus Plus er blant dem som folier løsepenger ved å kontrollere filtilgang. De forhindrer at ikke pålitelige programmer gjør endringer i filer i beskyttede mapper. Hvis et ikke betrodd program prøver å endre filene dine, får du et varsel. Vanligvis får du muligheten til å legge det ukjente programmet til den pålitelige listen. Det kan være nyttig hvis det blokkerte programmet var din nye tekst- eller fotoredigerer. Panda Internet Security går enda lenger, og forhindrer at ikke betrodde programmer til og med leser data fra beskyttede filer.
Ransomware-skurkene må passe på at de kan dekryptere filer når offeret betaler seg. Å kryptere filer mer enn en gang kan forstyrre utvinning, så de fleste inkluderer en markør av noe slag for å forhindre et nytt angrep. Bitdefender Anti-Ransomware utnytter den teknikken for å lure spesifikke ransomware-familier til å tro at de allerede har angrepet deg. Merk imidlertid at denne teknikken ikke kan gjøre noe med helt nye ransomware-typer.
Når Webroot SecureAnywhere AntiVirus møter en ukjent prosess, begynner den å journalføre all aktivitet etter den prosessen, og sende data til skyen for analyse. Hvis prosessen viser seg å være skadelig, ruller Webroot tilbake alt den gjorde, til og med ruller tilbake ransomware-aktivitet. ZoneAlarm og RansomBuster har sine egne metoder for å gjenopprette filer. Når anti-ransomware-komponenten i Acronis True Image dreper et ransomware-angrep, kan den om nødvendig gjenopprette krypterte filer fra sin egen sikre sikkerhetskopi.
Nå en vinner
CyberSight RansomStopper oppdaget og blokkerte alle mine ransomware-prøver fra den virkelige verden uten å miste noen filer. Den oppdaget også min enkle håndkodede ransomware-simulator. Og det blokkerte et angrep fra Petya, der flere konkurrerende produkter mislyktes.
Tidligere viste RansomStopper en sårbarhet for ransomware som bare kjøres ved oppstarttid, men mine kilder sier at denne typen angrep blir mindre vanlig, og CyberSight har siden løst problemet. Andre gratis produkter hadde sine egne problemer. RansomFree gikk glipp av en prøve fra den virkelige verden, og Malwarebytes lot en annen prøve irreversibelt kryptere noen få filer før deteksjonen startet. RansomBuster klarte seg verre, og savnet halvparten av prøvene fullstendig (selv om Folder Shield-komponenten beskyttet de fleste filer).
RansomStopper og Check Point ZoneAlarm Anti-Ransomware er de beste valgene for dedikert ransomware-beskyttelse. ZoneAlarm er ikke gratis, men for $ 2, 99 per måned er det heller ikke veldig dyrt. RansomStopper klarer likevel full beskyttelse uten kostnad.