Indholdsfortegnelse:
- Attack af Ransomware
- Diskkryptering Ransomware
- Simuleret Ransomware Conundrum
- Andre spillesteder
- Hænder og bælte
Video: Cybereason RansomFree Review (Oktober 2024)
Hvis din antivirus ikke klarer at fange en data-stjæler Trojan, kan du få et nyt kreditkort. Hvis en faktisk virus kommer forbi sine forsvar, skal et aggressivt oprydningsværktøj tage sig af problemet. Men hvis din antivirus går glip af et ransomware-angreb, kan du muligvis miste alle dine dokumenter eller endda miste adgangen til din computer. Det er her Cybereasons's RansomFree kommer ind. Dette gratis, dedikerede ransomware-værktøj fungerer sammen med din eksisterende antivirus-software. Det fokuserer 100 procent på at opdage og forebygge ransomware-angreb ved at se efter opførsel, der er fælles for disse angreb. Ved testning, med grimme, virkelige verden malware-prøver, får det jobbet gjort.
Medlemmer af Cybereason-teamet fik deres træning i elitenhed 8200 i det israelske efterretningskorps, et hold dedikeret til cybersikkerhed. De skar deres tænder på cyberangreb på militærniveau, og de leverer nu avanceret forsvar til større virksomheder, herunder SoftBank, Vizio og Lockheed Martin. Da ransomware-epidemien begyndte at sætte flere forbrugere i fare, besluttede virksomhedens administrerende direktør at udtrække ransomware-komponenten fra den fulde Cybereason-sikkerhedssuite og give den ransomware-beskyttelse til forbrugerne gratis. Små virksomheder kan også bruge det; større virksomheder bør overveje Cybereason-tjenesten i fuld skala.
Umiddelbart efter installationen begynder RansomFree at beskytte dit system mod ransomware. Det kører i baggrunden og ser efter opførsel, der er specifik for ransomware. Som en del af denne proces opretter den "agn" -filer på førsteklasses placeringer som skrivebordet og mappen Dokumenter. Der er ingen antivirussignaturer; RansomFree er afhængig af adfærdsbaseret detektion.
Attack af Ransomware
RansomFree var blandt de første ransomware-specifikke sikkerhedsværktøjer, som jeg gennemgik sidste år. På det tidspunkt havde jeg kun et par prøver i den virkelige verden plus håndmodificerede varianter af dem. Jeg har nu et halvt dusin prøver, der dækker forskellige ransomware-familier. RansomFree registrerede og blokerede dem alle.
Når det ser en proces, der fungerer som ransomware, suspenderer RansomFree denne proces og viser en stor advarsel. Du klikker på Ja for at afslutte processen og rydde op i eventuelle problemer. Du kan også klikke på Nej, men det anbefaler jeg ikke. Der er et link til at se alle filer, der er oprettet, ændret eller slettet ved den krænkende proces. Gennemgang af denne info kunne jeg f.eks. Se, at en angriber oprettede en eksekverbar fil med et tilfældigt navn lige i mappen Dokumenter og overførte kontrol til det program. En anden slettede sin tilstedeværelse på disken efter indlæsning i hukommelsen.
I nogle tilfælde dukkede RansomFree op to eller endda tre gange; Jeg har altid klikket på Ja. Efter afslutningen advarede den om, at ransomware muligvis har efterladt en løsepenge-note eller anden detritus, som du skal rydde op manuelt. Faktisk fandt jeg løsepenge i et par tilfælde.
Jeg har fundet et par produkter, der ikke forhindrede et ransomware-angreb, der blev lanceret ved Windows-opstart. IObit Advanced SystemCare Ultimate er et eksempel, ligesom den gratis CyberSight RansomStopper er. Da jeg konfigurerede en ransomware-prøve til start ved opstart, havde RansomFree ingen problemer med at registrere og afslutte den.
Jeg har til rådighed en lille, simpel ransomwaresimulator, et program, jeg selv skrev. Alt det gør er at finde tekstfilerne i mappen Dokumenter og anvende XOR-kryptering på dem. Denne teknik vipper ganske enkelt alle bitene til nul og alle nulbitene til en; anvender den en anden gang dekrypterer filen. Dette viste sig at være for simpelt for RansomFree at bemærke, og det er faktisk ikke rigtig ødelæggende. En hel del andre konkurrerende værktøjer ignorerede min FakeCryptor, blandt dem Acronis og CryptoDrop Anti-Ransomware.
Diskkryptering Ransomware
Den mest almindelige type ransomware krypterer dine vigtige filer, men lader computeren fungere. Det giver perfekt mening, fordi offeret har brug for internet- og computeradgang for at betale løsepenge. Der er dog en anden, mindre almindelig type, der udfører hele diskkryptering, som effektivt murer enheden, indtil du betaler op. Den berygtede Petya ransomware er en sådan, og jeg har formået at snare en Petya-prøve.
Adfærdsbaserede ransomware-værktøjer beskytter ikke nødvendigvis mod denne type angreb. Af de fire andre produkter, jeg har testet siden jeg fik Petya-prøven, forhindrede Acronis og RansomStopper et Petya-angreb, men Malwarebytes Anti-Ransomware Beta og CryptoDrop gjorde det ikke.
Et blogindlæg fra Cybereason fik mig til at tro, at RansomFree muligvis stopper Petya. Da jeg lancerede min prøve, fortsatte den imidlertid med at nedbryde systemet og køre en foregive, hvis lavt niveau blev repareret ved genstart. I virkeligheden var det at kryptere disken og ikke reparere den. Det er værd at bemærke, at disk-krypterende ransomware er meget mindre almindeligt end den fil-krypterende type, og at din antivirus sandsynligvis vil fange den, før den kunne skade.
Simuleret Ransomware Conundrum
KnowBe4 er et selskab, der er mere kendt for sine antiphishingtræning end for produkter, men det tilbyder den gratis RanSim Ransomware Simulator. Uden at berøre nogen af dine egne dyrebare filer simulerer RanSim de ti mest almindelige ransomware-teknikker såvel som to uskadelige relaterede teknikker, som ransomware-beskyttelse ikke bør blokere.
Jeg installerede RanSim på testsystemet og kørte dets testsekvenser med skuffende resultater. RansomFree afståede korrekt fra at forstyrre de to falsk-positive scenarier, men det gjorde heller intet for at blokere de 10 ransomware-scenarier.
Efter nogle graver, hovedskrammer og sammenblanding med både Cybereason og KnowBe4, kom jeg til at forstå problemet. RanSim lægger sine testfiler i mapper inden for mapper, fire niveauer under mappen Dokumenter. Kryptering af sådanne filer uden at berøre det faktiske indhold i mappen Dokumenter er bare ikke en opførsel, der matcher noget ransomware i den virkelige verden. Så RansomFree ignorerer det. Acronis blokerede alle 10 scenarier, og Malwarebytes fik otte. Andre udslettet hele testplatformen, hvilket betyder, at den ikke kunne rapportere nogen resultater.
Andre spillesteder
Ransomware er et alvorligt problem, så det er ikke overraskende, at andre virksomheder har udtænkt deres egne metoder til at bekæmpe det. Al malware-detektion i Webroot SecureAnywhere AntiVirus er baseret på opførsel, ikke kun påvisning af ransomware. Antivirus udsletter straks enhver proces, der matcher en eksisterende malware-adfærdsprofiler. Hvis det ikke er 100 procent klart, at en mistænkt proces er ondsindet, journaliserer Webroot dens lokale handlinger og virtualiserer alle ikke-reversible handlinger, såsom at sende oplysninger ud over internettet. Når dens skybaserede analyse senere identificerer den mistænkelige proces som malware, bruger den lokale klient journaldataene til at vende alle handlinger ved hjælp af den proces, herunder vende krypteringshandlingerne udført af ransomware.
Du skal købe den fulde Panda Internet Security-pakke for at få ransomware-beskyttelse fra Panda; den fristående antivirus inkluderer ikke Data Shield-komponenten. Data Shield sigter mod at beskytte dine dyrebare dokumenter mod al uautoriseret adgang, så ransomware ikke kan kryptere dine filer, og trojanere kan ikke stjæle dine data. Hvis Panda registrerer et adgangsforsøg fra et hvilket som helst uautoriseret program, spørger det dig, om du vil tillade det. Naturligvis giver du tilladelse til den nye tekstbehandler, du lige har installeret, men hvis anmodningen kommer ud af det blå, skal du nægte det!
Trend Micro Antivirus + Security og Avast Internet Security er blandt de andre produkter, der folierer ransomware ved at forhindre uautoriseret filændring. De forhindrer dog ikke skrivebeskyttet adgang, som Panda gør.
På området værktøjer, der er specifikt designet til at bekæmpe malware, bruger næsten alle adfærdsbaseret detektion. Bitdefender Anti-Ransomware er en undtagelse; det fungerer ved at undergrave ransomwarens egne teknikker til at undgå dobbeltkryptering, "vaccinere" systemet, så ransomware mener, at det allerede har gjort sit job.
Check Point ZoneAlarm Anti-Ransomware supplerer adfærdsbaseret detektion med et system til gendannelse af filer, der måske er blevet krypteret, før detektering gik i gang. I testen gjorde det et perfekt stykke arbejde, selv at de spredte løsepenge blev fjernet.
Med Acronis Ransomware Protection får du 5 GB cloud-lager til dine følsomme filer. Hvis ransomware krypterer en eller to filer før detektion, gendanner Acronis simpelthen fra sin beskyttede sikkerhedskopi. Hvis 5 GB viser sig at være utilstrækkelig, kan du altid opgradere til virksomhedens Acronis True Image backup-service, som naturligvis inkluderer anti-ransomware-komponenten.
Trend Micro RansomBuster går helt ud og bekæmper ransomware på flere fronter. Dets Folder Shield blokerer modifikation af følsomme filer, den bruger adfærdsbaseret detektion, og den gendanner filer fra sikker opbevaring om nødvendigt. Da jeg slukkede Folder Shield til test, gik den adfærdsbaserede detektion imidlertid flere prøver.
Hænder og bælte
RansomFree er, som navnet antyder, gratis, og da vi testede det med virkelige verden, grim ransomware, gjorde det jomansk service. Det er på ingen måde en universel løsning, men det er en værdifuld tilføjelse til dit generelle program til beskyttelse af malware. Jeg har installeret det på min vigtigste produktions-pc, og jeg vil foreslå, at du overvejer at tilføje det eller et andet gratis ransomware-værktøj til at supplere din antivirusbeskyttelse i fuld skala.
Check Point ZoneAlarm Anti-Ransomware er vores redaktørers valg for ransomware-specifik sikkerhed. Selvom det ikke er gratis, er det heller ikke dyrt. Det beskyttede mod alle vores ransomware-prøver og gendannede filer efter behov uden at strække agnfiler rundt om i systemet.