Indholdsfortegnelse:
- Opstart og indstillinger
- Ransomware-detektion
- Ransomware-gendannelse
- Diskkryptering Ransomware
- Andre teknikker
- En interessant nybegynder
Video: Kaspersky Anti-Ransomware | Free tool for everyone (Oktober 2024)
De uærlige kodere, der opretter malware, er i det for pengene, på en eller anden måde. Bitcoin-minearbejdere kaprer din CPU- og GPU-cyklus for i hemmelighed at berige deres skabere. Trojanere foregiver at være nyttige programmer, men stjæler hemmeligt dine kreditkortoplysninger. Ransomware er det mest direkte greb for penge. Det krypterer dine vigtige filer, hvilket gør dem ubrugelige for dig og kræver, at du betaler en løsepenge for dekrypteringsnøglen. Hvis ransomware glider forbi din antivirus, er du i problemer. Derfor er det fornuftigt at supplere din almindelige antivirus med et ransomware-specifikt værktøj som CryptoDrop Anti-Ransomware. Dette værktøj registrerer både ransomware baseret på dets opførsel og gendanner alle filer, der er krypteret før detektion. Det klarer sig godt ved testning med nogle mindre boble.
For $ 29.99 pr. År kan du installere CryptoDrop på tre pc'er. For en enkelt pc kan du vælge at betale $ 2, 99 pr. Måned eller $ 19, 99 pr. År. Der er også en gratis udgave, men dens beskyttelse dækker kun mappen Dokumenter, og den mangler gendannelsesmuligheden. Bemærk, at Acronis Ransomware Protection, RansomFree, Malwarebytes og Trend Micro tilbyder adfærdsbaseret detektion uden omkostninger; Trend Micro og Acronis inkluderer også filgendannelse.
Opstart og indstillinger
Som med mange lignende produkter, skal du genstarte efter den hurtige, enkle installation. Produktet installeres i fri tilstand oprindeligt. Du kan klikke på et link for at købe det fulde produkt eller aktivere ved hjælp af din CryptoDrop-konto og en licensnøgle. Når du har installeret og aktiveret produktet, viser statusindikatorerne for detektion og gendannelse begge en grøn cirkel.
Jeg blev lidt afskrækket af en underlig opførsel, der vedrørte disse indikatorer. Hver gang jeg åbnede hovedvinduet, viste disse indikatorer oprindeligt og synligt en advarselsrød. Efter et sekund skiftede de til grønt. Der er ingen skade i det, men det føles uheldigt.
Når du klikker på knappen Indstillinger, får du en liste over beskyttede placeringer. Oprindeligt inkluderer disse mapperne Dokumenter, Musik, Billeder og Video til hver brugerkonto, inklusive Alle brugere og Offentlige. En kendt (men uskadelig) fejl i den aktuelle udgave viser, at mappen Billeder vises to gange. Jeg anbefaler kraftigt at tilføje skrivebordsmappen til hver konto og enhver anden personlig mappe, som du bruger til personlige filer.
CryptoDrop håndterer gendannelse af filer ved at opbevare kopier af filer fra dine beskyttede mapper i en egen hærdet mappe. Men hvis du ser på denne DropSafe-mappe, ser du ikke noget - og heller ikke noget ransomware, der måtte være til stede. Ved hjælp af teknologi, der ligner et rootkit, gør CryptoDrop sine sikkerhedskopifiler usynlige for apps og operativsystemet.
Som standard reserverer CryptoDrop 2 GB til DropSafe. Hvis denne plads begynder at blive fyldt, får du en advarsel og en mulighed for at øge størrelsen. Check Point ZoneAlarm Anti-Ransomware, Trend Micro og Acronis leverer adfærdsbaseret ransomware-registrering og filgendannelse, der ikke er begrænset til et specifikt sæt mapper.
Ransomware-detektion
For en hurtig sundhedsundersøgelse kørte jeg et simpelt sind med falske ransomware-programmer, som jeg kodede selv. Alt i alt finder det alle tekstfiler i mappen Dokumenter og krypterer dem reversibelt ved at vende alle bitene i hver byte, nuller til dem, dem til nuller.
Oprindeligt så det ud til, at CryptoDrop ikke virkede. Når jeg kiggede nærmere, indså jeg, at jeg kun havde to tekstfiler i mappen Dokumenter. CryptoDrop registrerer "bulk-filmodifikation", og kryptering af kun to filer registreres ikke som bulk-modifikation. Da jeg prøvede igen med to dusin tekstfiler, hentede CryptoDrop aktiviteten, stoppede programmet og gik i Lockdown-tilstand, hvilket gjorde, at alle filer midlertidigt var læselæsbart. Det oprettede også en regel, der altid blokerer testprogrammet.
Med den enkle test ude af vejen, dobbeltkontrollerede jeg den virtuelle maskintest-systems isolering fra det fysiske netværk og begyndte at lancere ransomware-prøver i den virkelige verden. I alle tilfælde opdagede CryptoDrop truslen, dræbte den og skiftede til Lockdown-tilstand.
Lejlighedsvis støder jeg på ransomware-beskyttelsesværktøjer, der kan folieres, hvis ransomware starter ved opstart, før anti-ransomware-værktøjet. CyberSight RansomStopper mislykkedes denne test, ligesom ransomware-beskyttelsen gjorde i den nyeste IObit Advanced SystemCare Ultimate. Da jeg satte en af ransomware-prøverne til at starte ved opstart og genstarte, havde CryptoDrop ingen problemer med at forsvare sig mod det.
Ransomware-gendannelse
CryptoDrop klarede sig meget godt ved detektion af ransomware. Gendannelseskomponenten fungerede for det meste, men dens udførelse viste sig at være lidt ujævn.
Som bemærket holder CryptoDrop sikre sikkerhedskopier af dine filer i en mappe, hvis indhold andre apps bare ikke kan se. Når du klikker på Gendan filer, vises det en liste over filer, der er påvirket af det nylige ransomware-angreb. Det korte, brede gendannelsesvindue fyldte hele bredden (1.280 pixels) af mit testsystem, men var ikke ret højt nok til at vise et dusin filer. For hver fil viste den det originale fulde stinavn, stienavnet til den beskyttede sikkerhedskopi, et dato / tidstempel og processen, der beskadigede originalen. Uanset hvilken som helst grund viser det gendannelsespadnavne i alle kapper, hvilket skaber en vanskelig at læse skærm.
Det er vigtigt at gennemgå listen over filer og kun vælge dem, du vil gendanne. Jeg fandt, at denne liste i de fleste tilfælde inkluderede filer oprettet af ransomware; du ønsker ikke at gendanne dem. I stedet for at bruge afkrydsningsfelter til valg, kræver CryptoDrop, at du Ctrl + klikker på hvert element, du vil gendanne.
I begge tilfælde skete den egentlige gendannelsesproces hurtigt, og så vidt jeg kunne fortælle, gendannede alle filerne korrekt. I nogle tilfælde gjorde det dog en hel del mere. For eksempel resulterede et gendannelsesforsøg i fire versioner for hver fil. Ud over det korrekt gendannede dokument og den resterende krypterede version var der en samme navngivne fil uden filtypenavn, og en anden kopi med filtypenavnet.RECOVERED. Det virkede lidt rodet.
I en anden, mere bekymrende sag, forblev ransomware-processen, efter at CryptoDrop angiveligt suspenderede den. Mens jeg arbejdede på gendannelsesprocessen, ændrede det skrivebordet til en løsepenge-note og viste også dens løsepenge-krav som en HTML-fil. For at være retfærdig administrerede den ikke nogen yderligere krypteringsaktivitet, men en suspenderet fil skulle slet ikke køre.
Diskkryptering Ransomware
Ransomware for filkryptering er langt den mest almindelige type, men der er et par trusler derude, der krypterer whle-drevet, hvilket betyder, at din computer er en mursten, indtil du betaler løsepenge. Den berygtede Petya ransomware forfalsker en systemnedbrud efterfulgt af en diskcheck ved opstart, men hvad det virkelig gør er at kryptere dit drev, mens du foregiver at kontrollere det.
Som de fleste ransomware-beskyttelsesværktøjer fokuserer CryptoDrop på filkryptere, ikke på hele diskkrypteringstypen. Det gjorde intet for at stoppe min Petya-prøve. De eneste produkter, som jeg har set med succes forhindrer angreb fra Petya, er Acronis, RansomStopper og Sophos Home Premium.
Andre teknikker
Mens adfærdsbaseret detektion er den mest almindelige funktion i ransomware-værktøjer, er det ikke den eneste teknik, der kan hjælpe. Bitdefender Antivirus Plus, Trend Micro RansomBuster og et par andre forbyder ændring af beskyttede filer af uautoriserede programmer. Hvis du får en popup-advarsel, ligesom du lancerer et nyt billedredigeringsprogram, skal du bare klikke for at hvidliste det. Hvis advarslen kommer som en overraskelse, skal du blokere aktiviteten.
Panda Internet Security og IObit Advanced SystemCare Ultimate er blandt de få, der også forhindrer uautoriserede programmer i at læse dine beskyttede filer. Dette betyder, at de også kan hindre datastjælpende trojanere.
En succesrig ransomware-iværksætter skal sikre, at "kunder", der betaler løsepenge, kan få deres filer tilbage. Det betyder, at de skal undgå at kryptere det samme system to gange, hvilket betyder, at de er nødt til at markere inficerede systemer på en eller anden måde. Den gratis Bitdefender Anti-Ransomware bruger denne kendsgerning til at "vaccinere" pc'er mod meget specifikke, kendte ransomware-angreb. Det narrer angriberen blot til at tro, at den allerede har skabt sin ødelæggelse.
Adfærdsbaseret detektion har en potentiel svaghed. Ransomware kan muligvis kryptere mindst et par filer, før adfærdsalgoritmen starter ind for at stoppe den. Den gratis Malwarebytes og Cybereason RansomFree mistede begge et par filer under testning. Det er stadig bedre end at miste alle dine filer, men et filgendannelsessystem er endnu bedre. Under testning gjorde ZoneAlarm et perfekt job med bedring. Det var kun en fejl, der var et tilfælde, hvor gendannelsen lykkedes, men den rapporterede om fejl.
En interessant nybegynder
CryptoDrop er en relativt ny virksomhed, der er grundlagt på teknologi skabt af professor i computervidenskab ved University of Florida. Det har et par ujævne kanter, såsom den akavede præsentation af filer til gendannelse og lejlighedsvis multiplikation af gendannede filer. Ved testning blokerede det både ransomware i den virkelige verden og simuleret ransomware, skønt et ransomware-program forblev kørt, efter at CryptoDrop rapporterede, at det blev undertrykt. Jeg ser frem til en fremtidig version med lidt mere polsk.
Vores redaktørers valg for ransomware-beskyttelse er Check Point ZoneAlarm Anti-Ransomware. For $ 2, 99 per måned for tre licenser er dens pris ikke meget forskellig fra CryptoDrop's. Ved testning detekterede det alle ransomware-prøver og gendannede alle filer, som ransomware krypterede, rent. Hvis selv den lave pris er for meget, kombinerer den gratis Acronis Ransomware Protection en adfærdsbaseret detektion med en krypteret cloud-sikkerhedskopi af dine følsomme filer.