Heilig forsvar løslatelse vurdering og vurdering

Visst, ransomware er en hodepine for enkeltpersoner - som vil miste all fremgang på den store amerikanske romanen? Men tenk deg hvor mye verre det er for bedrifter, som kan tape 100 000 dollar per time (eller mer) når ransomware låser opp produksjonen. High-end forretningssikkerhetssystemer trenger kraftig beskyttelse mot ransomware, og noen ganger gjør leverandørene av slike systemer den beskyttelsen tilgjengelig på det personlige nivået. Det er tilfelle med gratis Heilig Defense RansomOff, som bruker teknologi lånt fra high-end Hielig Defense Correlate.

På en lignende måte innkapsler Cybereason RansomFree ransomware-beskyttelsen som finnes i Cybreasons produkter på bedriftsnivå. Hvor RansomFree, RansomStopper og de fleste andre gratis ransomware-spesifikke verktøy reduserer innstillinger og brukerinteraksjon til et minimum, inkluderer RansomOff imidlertid flere moduser og moduler som til og med forvirret meg.

RansomOff er en liten nedlasting, og den installeres raskt. Som standard kjører den i enkel modus, beskrevet som "problemfri beskyttelse." Du kan også velge avansert modus for å "slippe løs RansomOffs fulle potensiale." Jeg benyttet meg av begge modusene i testing, som du vil se nedenfor.

Enkel modus

I standard Simple Mode tar RansomOff seg av virksomheten helt i bakgrunnen, uten varsel om at den har avsluttet andre trusler enn en kort animasjon av ikonet for varslingsområdet. Når du dobbeltklikker på ikonet, viser det et lite vindu med knapper for å se varsler og bytte til avansert modus.

I denne modusen avslutter RansomOff ransomware, men den prøver ikke å rydde opp. Du kan alltid se hva det gjorde ved å dobbeltklikke på ikonet og deretter klikke på Vis varsler. Listen over varsler inkluderer ventende opprydningsoperasjoner, som du kan starte manuelt.

Når jeg testet, oppdaget og avsluttet den alle ransomware-prøver fra den virkelige verden. Jeg så etter det animerte ikonet, sjekket varslene og ba om opprydding i hvert tilfelle. Imidlertid utløste under halvparten av prøvene et Ransomware Detected-varsel. For resten rapporterte den HIPS-Lite Notification, og fortalte meg at det krenkende programmet forsøkte å konfigurere seg selv til oppstart ved oppstart.

Som en sunnhetssjekk, kjørte jeg flere verktøy fra samlingen jeg opprettholder for falske positive tester, og valgte dem hvis funksjonalitet krever at de skal startes ved oppstart. I alle tilfeller eliminert RansomOff disse helt legitime programmene. Jeg har ikke observert denne typen oppførsel i andre ransomware-spesifikke verktøy. Med tanke på at HPS-Lite-funksjonen eliminerer både legitime og ondsinnede programmer, kan jeg knapt kalle det gjenkjenning av ransomware.

Avansert modus

For videre utforskning byttet jeg RansomOff til avansert modus og gjentok testen. Programmets oppførsel er veldig forskjellig i denne modusen. Når du oppdager ransomware, overtar den skjermen med en umulig å ignorere advarsel, og ber din tillatelse til å håndtere problemet. Du kan klikke for mer informasjon før du bestemmer deg. Hvis den oppdager modifisering av oppstartssekvensen, eller andre mistenkelige handlinger, vises det en mindre anstrengende HIPS-Lite-varsling og spør om den skal tillates eller blokkere endringen.

Jeg løp gjennom prøvene igjen og valgte Block på alle HIPS-Lite advarsler. Resultatene lignet på det jeg så i Simple Mode, med ett iøynefallende unntak. Kanskje på grunn av forsinkelsen med å vise varslingen, tillot RansomOff en prøve å kryptere filene i mappen Dokumenter før de utslettet. Jeg prøvde dette flere ganger, i tilfelle det var en fluke; det skjedde ikke hver gang, men det var absolutt repeterbart.

Deretter prøvde jeg på nytt prøvene som utløste HIPS-Lite advarsler, og valgte Tillat denne gangen. Det var en katastrofe. Å fortelle RansomOff for å tillate oppstartmodifisering førte også til at den stoppet overvåking for ransomware-aktivitet. "Slik vi ser på det, er på det tidspunktet prosessen ble anerkjent for å gjøre noe, og brukeren tok et valg på en eller annen måte, " forklarte kontakten min hos Heilig Defense. "Tross alt skal brukeren være smartere enn programvaren eller i det minste, få dem til å tenke litt mer før de tillater det."

Jeg kan ikke være enig. Sikkerhetsprogramvare som legger kritiske beslutninger i hendene til den gjennomsnittlige brukeren, er etter min mening en feil. Det er som den gamle personlige brannmurmodellen, som gjorde brukeren ansvarlig for alle beslutninger om hvorvidt hvert program skal få tilgang til nettverket. Andre verktøy for ransomware-beskyttelse gjør jobben uten å involvere brukervedtak.

Jeg var fast bestemt på å få en klar oversikt over programmets evner, og jeg slo av HIPS-Lite-funksjonen og gjentok testingen min en gang til. Denne gangen oppdaget og blokkerte produktet ransomware-oppførsel i alle prøvene, et veldig tilfredsstillende resultat. Den plagsomme prøven klarte likevel å kryptere filer før RansomOff slo den.

Videre testing

Noen ganger har jeg støtt på sikkerhetsprogrammer som mislykkes når ransomware lanseres ved oppstart. Jeg er snill å si at RansomOff ikke er noe av det. Når jeg manuelt satte inn et par eksempler som skal startes ved oppstart av Windows, blokkerte det dem effektivt.

For en veldig grunnleggende fornuftskontroll, har jeg skrevet et lite program som krypterer alle tekstfiler i mappen Dokumenter ved hjelp av reversibel XOR-kryptering. Mange ransomware-beskyttelsesverktøy oppdager ikke dette programmet, fordi ingen faktisk ransomware vil kryptere på denne enkle sinn. Men RansomOff fanget det.

Jeg lastet også opp RanSim ransomware-simulator fra KnowBe4. Dette verktøyet simulerer 10 teknikker som brukes av faktisk ransomware, sammen med to ufarlige krypteringsaktiviteter. I enkel modus kunne jeg ikke engang installere den, da RansomOff utslettet den. Prøver igjen i avansert modus med HIPS-Lite slått av, klarte jeg en vellykket installasjon.

Mens testverktøyet gikk gjennom scenariene, svarte jeg på 11 oppdagelsesadvarsler fra RansomOff. Etter testen rapporterte RanSim vellykket forebygging av alle 10 simulerte ransomware-aktiviteter, sammen med et av de uskyldige scenariene. Acronis Ransomware Protection scoret nøyaktig det samme. Å blokkere alle 10 simulerte angrep er et stort pluss; en falsk positiv er et lite minus.

Fancy Ransomware-beskyttelsesfunksjoner

Jeg er vant til å ransomware-beskyttelsesverktøy som er så beskjedne at de knapt har et hovedvindu, og noen ganger har ingen konfigurasjonsinnstillinger i det hele tatt. RansomOff i avansert modus er ganske avgang, med flere fancy funksjoner som jeg bare kunne forstå ved å grave i dokumentasjonen.

App Lockdown

App Lockdown er et hvitlistelistert beskyttelsessystem, deaktivert som standard, med flere driftsformer. I strenge Alle prosesser-modus, må du OK hver prosess som starter, med mindre den allerede er unntatt. Løsner opp til ny prosessmodus, ber RansomOff bare om bekreftelse første gang en prosess kjøres under Windows-økten. Du kan kutte ned på popup-vinduer ved å unnta Windows-prosesser, digitalt signerte programfiler eller begge deler.

Jeg slo på App Lockdown i Alle prosessmodus og lanserte Chrome. Jeg måtte OK fem forskjellige prosesser, men ved en påfølgende lansering var disse prosessene unntatt. Tekniske kunnskapsrike brukere kan konfigurere App Lockdown for å aktivere automatisk når en spesifisert prosess lastes inn, og eventuelt deaktivere når prosessen lukkes. Forhåndsinnstillingen for Web Lockdown konfigurerer App Lockdown til å aktiveres når et nettleservindu er aktivt, omtrent som måten VoodooSoft VoodooShield fungerer på.

Sikkerhetskopiering og gjenoppretting

Sikkerhetskopierings- og gjenopprettingsfunksjonen, som er aktivert som standard, tar sikte på å sikkerhetskopiere truede filer og om nødvendig gjenopprette dem etter ransomware-aktivitet. I følge dokumentasjonen vil "RansomOff lage en kopi av en fil basert på visse handlinger og lagre den på et beskyttet sted." Det tilbyr flere gjenopprettingsmetoder, blant dem å velge en prosess for å gjenopprette endringer den har gjort og søke etter filer som trenger gjenoppretting, samt et alternativ for å fjerne slettingen av filer RansomOff kan ha slettet ved en feiltakelse. I testen min så jeg aldri denne funksjonen i aksjon; det hjalp ikke med den ene irriterende ransomware-prøven som krypterte dokumentene mine.

Gjenopprettingsfunksjonen i Check Point ZoneAlarm Anti-Ransomware viste seg å være både enklere og mer effektiv. I alle tilfeller tilbød den å gjenopprette alle krypterte filer, og gjorde det med hell. Den eneste feilen i testingen innebar rapporteringsfeil en gang når den faktisk lyktes.

Acronis Ransomware Protection tar en annen tilnærming til sikkerhetskopiering. Det skaper en kryptert sky-sikkerhetskopi av filene i de beskyttede mappene, opp til 5 GB verdt, og gjenoppretter alle filer som er skadet av ransomware etter å ha eliminert trusselen.

Mappebeskyttelse

Når du klikker på mapper, får du opp RansomOffs tillatelsesbaserte beskyttelse for mapper du spesifiserer. I likhet med Bitdefender Antivirus Plus, Trend Micro og noen få andre, kan det forhindre at uautoriserte programmer modifiserer filer, men det tilbyr flere andre alternativer. Du kan la den nekte all tilgang til filer i den beskyttede mappen, skjule eksistensen av disse filene, eller blokkere lansering av kjørbare filer fra det beskyttede stedet. Denne siste er nyttig mot trusler som TeslaCrypt, som slipper en tilfeldig navngitt kjørbar fil i mappen Dokumenter og lanserer den.

Forvirrende klarer du beskyttelsen ved å legge til mapper til en av fem forskjellige lister: Avvis, bedrag, skjul, skrivebeskyttet og ingen kjøring. En mappe kan bare oppta en av disse listene om gangen. For å starte la jeg Dokumenter-mappen til Avvis-listen. Dette bør nekte både lese- og skrivetilgang til beskyttede filer, som den lignende funksjonen i Panda Internet Security. Imidlertid gjorde det ikke noe for å forhindre en liten redaktør som jeg skrev selv fra å lese og endre filer.

Det viser seg at jeg ikke var nær nok oppmerksomhet. Skjermen viste tydelig "Protection not Enabled" under den valgte mappen. Du må også legge til minst en unntatt søknad før RansomOff vil starte beskyttelsen. Jeg la Windows Utforsker til listen over fritatte for å aktivere beskyttelse. Etter det dukket Dokumenter-mappen ikke en gang opp i den lille redaktørens åpne fil-dialog.

Jeg valgte Change Protection og flyttet den beskyttede mappen min til Read Only-listen. Denne gangen lastet den lille redaktøren min en tekstfil fra den beskyttede mappen, men et forsøk på å lagre en modifisert versjon fikk en melding som sa "Stream skrivefeil." Det er skuffende. Trend Micro RansomBuster og flere andre lignende programmer rapporterer forsøkt tilgang og gir deg en sjanse til å hvitliste applikasjonen. Når du nettopp har installert et nytt dokument eller fotoredigeringsprogram, kan du enkelt hviteliste det på dette tidspunktet.

I prosessen med å prøve ut den lille redaktøren min, oppdaget jeg mange filer i mappen Dokumenter som rett og slett ikke dukket opp i Windows Utforsker. Som RansomFree og CyberSight RansomStopper, bruker RansomOff faktisk "agn" -filer for å hjelpe til med deteksjonen. Det gjemmer dem vanligvis for visningen, som RansomStopper, men de dukker opp i noen situasjoner.

Trenger innstilling

De fleste ransomware-spesifikke beskyttelsesverktøy er super-strømlinjeformede, og gjør jobben sin rolig, med lite behov for brukerinteraksjon eller konfigurasjon. Å installere et slikt verktøy ved siden av din eksisterende antivirusbeskyttelse gir deg et enkelt sekundært beskyttelseslag. RansomOff er langt mer sammensatt enn noen av konkurrentene, med avanserte innstillinger og funksjoner som forvirrer uten en grundig gjennomgang av dokumentene. Ved testing oppdaget den alle ransomware-prøver, men la en av dem kryptere filer til tross for deteksjon.

Tekniker kan ha glede av det, men for tiden er det bare for komplisert for den gjennomsnittlige brukeren. På den rosenrøde siden er utviklerne raske med å fikse problemer, til og med oppdatere programmet for å fikse et par problemer under min gjennomgang. Jeg ser frem til en versjon som ikke krever så mye av den gjennomsnittlige brukeren.

Med et enklere grensesnitt og utmerket gjenoppretting er Check Point ZoneAlarm Anti-Ransomware et redaktørens valg for ransomware-beskyttelse. Hvis det å betale for enda et sikkerhetsverktøy ikke er det du hadde i tankene, er CyberSight RansomStopper gratis, og det er også et redigeringsvalg på dette området.