Indholdsfortegnelse:
- Ransomware-beskyttelse
- Forsigtig, Live Ransomware
- Boot-time-fare er løst
- Andre teknikker
- Nu en vinder
Video: RansomStopper by CyberSight (Oktober 2024)
Ransomware-beskyttelse
Når RansomStopper opdager et ransomware-angreb, afslutter det den fornærmede proces og vises en advarsel i meddelelsesområdet. Ved at klikke på advarslen kan du se, hvilken fil der forårsagede problemet. Der er en mulighed for at fjerne programmer fra listen over blokerede processer - sammen med en advarsel om, at det er en dårlig idé.
At vente med at opdage ransomware-opførsel kan undertiden betyde, at ransomware krypterer et par filer før terminering. Da jeg testede Malwarebytes, mistede det et par filer på denne måde. Check Point ZoneAlarm Anti-Ransomware gendanner aktivt alle krypterede filer. I min test gjorde det det for hver prøve fra ransomware. RansomStopper stoppede dog de samme prøver uden at tillade kryptering af filer.
For en hurtig sundhedsundersøgelse lancerede jeg et simpelt falske ransomware-program, som jeg selv skrev. Alt det gør er at kigge efter tekstfiler i og under mappen Dokumenter og kryptere dem. Den bruger en enkel, reversibel ciffer, så en anden kørsel gendanner filerne. RansomStopper fangede det og forhindrede dets chicanery. Så langt så godt.
Forsigtig, Live Ransomware
Den eneste sikre måde at teste adfærdsbaseret ransomware-beskyttelse er ved at bruge live ransomware. Jeg gør dette meget forsigtigt og isolerer mit virtuelle maskintestesystem fra alle delte mapper og fra internettet.
Denne test kan være hårdtrækkende, hvis anti-ransomware-produktet mislykkes detektering, men min RansomStopper-test gik glat. Ligesom ZoneAlarm og Malwarebytes, fangede RansomStopper alle prøverne, og jeg fandt ikke nogen filer, der var krypteret, før adfærdsdetektion startede. Cybereason RansomFree gjorde det ret godt, men det gik glip af en.
Jeg tester også ved hjælp af KnowBe4s RanSim, et værktøj, der simulerer 10 typer ransomware-angreb. Succes i denne test er nyttige oplysninger, men fiasko kan simpelthen betyde, at den adfærdsbaserede detektion korrekt bestemte, at simuleringerne ikke er reel ransomware. Ligesom RansomFree ignorerede RansomStopper simuleringerne.
Boot-time-fare er løst
At holde sig under radaren er en stor ting for ransomware. Når det er muligt, gør det sine beskidte gerninger lydløst og kommer kun frem med sit løsepenge-krav efter kryptering af dine filer. At have administratorrettigheder gør ransomwares job lettere, men at komme til det punkt kræver typisk tilladelse fra brugeren. Der er løsninger, der får stille privilegier. Disse inkluderer arrangering af piggyback på Winlogon-processen på starttidspunktet eller indstilling af en planlagt opgave for starttidspunktet. Ransomware arrangerer typisk bare at starte ved opstart og derefter tvinger en genstart uden at udføre nogen krypteringsopgaver.
I min tidligere test fandt jeg, at ransomware kunne kryptere filer på starttidspunktet før RansomStopper startede. Mit eget falske krypteringsprogram lykkedes det brag. Det krypterede alle tekstfiler i og under mappen Dokumenter, inklusive RansomStoppers agnstekstfiler. (Ja, disse filer er i en mappe, som RansomStopper aktivt skjuler, men jeg har mine metoder…) Den gik også glip af en ransomware-prøve i den virkelige verden, som jeg satte til at starte ved opstart.
CyberSights designere testede en række løsninger til dette problem og frigav en ny version, der kommer foran ransomware til starttid. Jeg testede det; det fungerer og fjerner den ene plet på RansomStoppers nu-sterling testresultater.
RansomFree kører som en service, så den er aktiv inden enhver regelmæssig proces. Da jeg udførte den samme test og satte en ransomware-prøve i den virkelige verden til start ved opstart, fangede RansomFree den også. Malwarebytes bestod også denne test. RansomBuster opdagede boot-time-angrebet og gendannede de berørte filer.
For yderligere at undersøge dette problem opnåede jeg en prøve af Petya ransomware, der skabte problemer tidligere på året. Denne særlige belastning styrter systemet og simulerer derefter reparation af starttid med CHKDSK. Hvad det faktisk gør, er at kryptere din harddisk. Malwarebytes, RansomFree og RansomBuster mislykkedes alle at forhindre dette angreb. RansomStopper fangede det, før det kunne forårsage systemnedbrud - imponerende! ZoneAlarm forhindrede også Petyas angreb. For at være retfærdig over for de andre er denne ikke en typisk filkrypterende ransomware. Snarere låser det hele systemet ved at kryptere harddisken.
Forespørgsel om mine kontakter lærte jeg, at ransomware-angreb på boot-time, inklusive Petya, bliver mindre almindelige. Alligevel har jeg føjet denne test til mit repertoire.
Andre teknikker
Adfærdsbaseret detektion er, når det implementeres korrekt, en fremragende måde at bekæmpe ransomware på. Det er dog ikke den eneste måde. Trend Micro RansomBuster og Bitdefender Antivirus Plus er blandt dem, der folier ransomware ved at kontrollere filadgang. De forhindrer ikke-betroede programmer i at foretage nogen ændring af filer i beskyttede mapper. Hvis et ikke-betroet program prøver at ændre dine filer, får du en anmeldelse. Typisk får du muligheden for at tilføje det ukendte program til den betroede liste. Det kan være praktisk, hvis det blokerede program var din nye tekst- eller fotoredigeringsprogram. Panda Internet Security går endnu længere og forhindrer, at ikke-betroede programmer endda læser data fra beskyttede filer.
Ransomware-skurke skal passe på, at de kan dekryptere filer, når offeret betaler sig. Kryptering af filer mere end én gang kan forstyrre gendannelsen, så de fleste inkluderer en markør af en eller anden art for at forhindre et andet angreb. Bitdefender Anti-Ransomware udnytter den teknik til at narre specifikke ransomware-familier til at tro, at de allerede har angrebet dig. Bemærk dog, at denne teknik ikke kan gøre noget ved helt nye ransomware-typer.
Når Webroot SecureAnywhere AntiVirus støder på en ukendt proces, begynder den at journalisere al aktivitet ved denne proces og sende data til skyen til analyse. Hvis processen viser sig at være malware, ruller Webroot tilbage alt, hvad det gjorde, endda ruller ransomware-aktivitet tilbage. ZoneAlarm og RansomBuster har deres egne metoder til at gendanne filer. Når anti-ransomware-komponenten i Acronis True Image dræber et ransomware-angreb, kan det om nødvendigt gendanne krypterede filer fra sin egen sikre sikkerhedskopi.
Nu en vinder
CyberSight RansomStopper opdagede og blokerede alle mine ransomware-prøver i den virkelige verden uden at miste nogen filer. Det opdagede også min enkle håndkodede ransomware-simulator. Og det blokerede for et angreb fra Petya, hvor flere konkurrerende produkter mislykkedes.
Tidligere udviste RansomStopper en sårbarhed over for ransomware, der kun kører ved opstarttid, men mine kilder siger, at denne type angreb bliver mindre almindelig, og CyberSight har siden rettet dette problem. Andre gratis produkter havde deres egne problemer. RansomFree gik glip af en prøve fra den virkelige verden, og Malwarebytes lader en anden prøve irreversibelt kryptere et par filer, før dens opdagelse gik i gang. RansomBuster klarede sig dårligere og manglede halvdelen af prøverne fuldstændigt (skønt dens Folder Shield-komponent beskyttede de fleste filer).
RansomStopper og Check Point ZoneAlarm Anti-Ransomware er vores top valg for dedikeret ransomware-beskyttelse. ZoneAlarm er ikke gratis, men til $ 2, 99 pr. Måned er det heller ikke meget dyrt. RansomStopper administrerer stadig fuld beskyttelse uden omkostninger.