Heilig forsvars løsladelse anmeldelse og vurdering

Sikker, ransomware er en hovedpine for enkeltpersoner - hvem vil miste alle dine fremskridt med den store amerikanske roman? Men forestil dig, hvor meget værre det er for virksomheder, der muligvis mister $ 100.000 pr. Time (eller mere), når ransomware låser produktionen op. Avancerede forretningssikkerhedssystemer har brug for kraftig beskyttelse mod ransomware, og lejlighedsvis leverer sådanne systemer lejlighedsvis denne beskyttelse på det personlige niveau. Det er tilfældet med det gratis Heilig Defense RansomOff, der bruger teknologi, der er lånt fra high-end Hielig Defense Correlate.

På lignende måde indkapsler Cybereason RansomFree ransomware-beskyttelsen, der findes i Cybreasons produkter på virksomhedsniveau. Hvor RansomFree, RansomStopper og de fleste andre gratis ransomware-specifikke værktøjer reducerer indstillinger og brugerinteraktion til et minimum, inkluderer RansomOff imidlertid flere tilstande og moduler, der til tider forvirrede mig.

RansomOff er en lille download, og den installeres hurtigt. Som standard kører det i Simple Mode, beskrevet som "problemfri beskyttelse." Du kan også vælge Avanceret tilstand for at "løsne RansomOffs fulde potentiale." Jeg brugte begge tilstande til testning, som du vil se nedenfor.

Enkel tilstand

I standard Simple Mode tager RansomOff sig af forretninger helt i baggrunden uden nogen meddelelse om, at det har afsluttet andre trusler end en kort animation af ikonet for meddelelsesområdet. Når du dobbeltklikker på ikonet, viser det et lille vindue med knapper for at se advarsler og skifte til avanceret tilstand.

I denne tilstand afslutter RansomOff ransomware, men det forsøger ikke oprydning. Du kan altid se, hvad det gjorde ved at dobbeltklikke på ikonet og derefter klikke på Vis underretninger. Listen over alarmer inkluderer afventende oprydningsoperationer, som du kan starte manuelt.

I testen afslørede og afsluttede den alle mine ransomware-prøver i den virkelige verden. Jeg kiggede efter det animerede ikon, kontrollerede alarmerne og anmodede om oprydning i hvert tilfælde. Under halvdelen af ​​prøverne udløste imidlertid en Ransomware-detekteret alarm. For resten rapporterede det om HIPS-Lite-meddelelse og fortalte mig, at det krænkende program forsøgte at konfigurere sig selv til lancering ved opstart.

Som en sundhedsundersøgelse kørte jeg adskillige hjælpeprogrammer fra den samling, jeg vedligeholder til falske positive test, og valgte dem, hvis funktionalitet kræver, at de skal starte ved opstart. I alle tilfælde eliminerede RansomOff disse totalt legitime programmer. Jeg har ikke observeret denne form for adfærd i andre ransomware-specifikke værktøjer. I betragtning af at HPS-Lite-funktionen eliminerer både legitime og ondsindede programmer, kan jeg næppe kalde denne ransomware-detektion.

Avanceret tilstand

For yderligere efterforskning skiftede jeg RansomOff til avanceret tilstand og gentog testen. Programmets opførsel er meget forskellig i denne tilstand. Når man finder det ransomware, overtager det skærmen med en advarsel, der er umulig at ignorere, og beder om tilladelse til at tackle problemet. Du kan klikke for flere detaljer, inden du beslutter dig. Hvis den registrerer ændring af startsekvensen eller andre mistænkelige handlinger, vises der en mindre stram HIPS-Lite-anmeldelse og spørger, om ændringen skal tillades eller blokere.

Jeg løb gennem prøverne igen og valgte Blok ved enhver HIPS-Lite advarsel. Resultaterne lignede det, jeg så i Simple Mode, med en skinnende undtagelse. Måske på grund af forsinkelsen med at vise dens anmeldelse, tilladte RansomOff en prøve at kryptere filerne i mappen Dokumenter, før de udslettes. Jeg prøvede dette flere gange, i tilfælde af, at det var en fluke; det skete ikke hver gang, men det kunne bestemt gentages.

Dernæst prøvede jeg prøverne, der udløste HIPS-Lite advarsler, og vælg Tillad denne gang. Det var en katastrofe. At fortælle RansomOff for at tillade opstartmodifikation fik også til at stoppe overvågningen for ransomware-aktivitet. "Den måde, vi betragter det på, er på det tidspunkt, at processen blev anerkendt som noget, og brugeren tog et eller andet valg, " forklarede min kontakt hos Heilig Defense. "Brugeren skal trods alt være smartere end softwaren eller i det mindste få dem til at tænke lidt mere, før de tillader det."

Jeg kan ikke være enig. Sikkerhedssoftware, der sætter kritiske beslutninger i hænderne på den gennemsnitlige bruger, er efter min mening en fejl. Det er som den gamle personlige firewall-model, der gjorde brugeren ansvarlig for alle beslutninger om, hvorvidt hvert program skal have adgang til netværket. Andre ransomware-beskyttelsesværktøjer gør jobbet uden at involvere brugerbeslutninger.

Fast besluttet på at få et klart overblik over programmets evner, deaktiverede jeg HIPS-Lite-funktionen og gentog min test endnu en gang. Denne gang detekterede og blokerede produktet ransomware-opførsel i alle prøverne, et meget tilfredsstillende resultat. Imidlertid lykkedes den ene besværlige prøve stadig at kryptere filer, før RansomOff piskede den.

Yderligere test

Jeg har lejlighedsvis stødt på sikkerhedsprogrammer, der mislykkes, når ransomware lanceres ved opstart. Jeg skal venligst sige, at RansomOff ikke er en af ​​dem. Når jeg manuelt indstillede et par prøver til start ved Windows opstart, blokerede det effektivt.

For en meget grundlæggende sundhedskontrol har jeg skrevet et lille program, der krypterer alle tekstfiler i mappen Dokumenter ved hjælp af reversibel XOR-kryptering. Mange ransomware-beskyttelsesværktøjer opdager ikke dette program, fordi intet ransomware ville kryptere på denne enkle sind. Men RansomOff fangede det.

Jeg har også indlæst RanSim ransomware-simulator fra KnowBe4. Dette værktøj simulerer 10 teknikker, der bruges af faktisk ransomware, sammen med to ufarlige krypteringsaktiviteter. I Simple Mode kunne jeg ikke engang installere det, da RansomOff udslettede det. Forsøger igen i avanceret tilstand med HIPS-Lite slukket, jeg lykkedes en vellykket installation.

Mens testværktøjet løb gennem sine scenarier, svarede jeg på 11 detekteringsadvarsler fra RansomOff. Efter afslutningen af ​​testen rapporterede RanSim succesfuld forebyggelse af alle 10 simulerede ransomware-aktiviteter sammen med et af de uskyldige scenarier. Acronis Ransomware Protection scorede nøjagtigt det samme. Det er et stort plus at blokere alle 10 simulerede angreb; en falsk positiv er et lille minus.

Fancy Ransomware-beskyttelsesfunktioner

Jeg er vant til at ransomware-beskyttelsesværktøjer, der er så beskedne, at de næppe har et hovedvindue og sommetider ikke har nogen konfigurationsindstillinger overhovedet. RansomOff i avanceret tilstand er en ganske afgang med flere smarte funktioner, som jeg kun kunne forstå ved at grave i dokumentationen.

Applåsning

App Lockdown er et hvidlistebaseret beskyttelsessystem, der er deaktiveret som standard med flere driftsformer. I den strenge Alle processer-tilstand skal du OK hver proces, der starter, medmindre den allerede er undtaget. Løsner op til ny processtilstand, beder RansomOff kun om bekræftelse, første gang en proces kører under Windows-sessionen. Du kan skære ned på popups ved at undtage Windows-processer, digitalt underskrevne programfiler eller begge dele.

Jeg aktiverede App Lockdown i tilstanden Alle processer og lancerede Chrome. Jeg måtte OK fem forskellige processer, men ved en efterfølgende lancering var disse processer undtaget. Teknisk-erfarne brugere kan konfigurere App Lockdown til at aktiveres automatisk, når en specificeret proces indlæses, og eventuelt deaktivere, når denne proces lukkes. Forudindstillingen af ​​Web Lockdown konfigurerer App Lockdown til at aktiveres, når et browservindue er aktivt, ligesom den måde VoodooSoft VoodooShield fungerer på.

Backup og genskab

Funktionen Sikkerhedskopi og gendannelse, som er aktiveret som standard, sigter mod at tage backup af truede filer og om nødvendigt gendanne dem efter ransomware-aktivitet. I henhold til dokumentationen "vil RansomOff lave en kopi af en fil baseret på visse handlinger og gemme den væk i det beskyttede rum." Det tilbyder flere gendannelsesmetoder, blandt dem at vælge en proces for at gendanne de ændringer, den har foretaget, og søge efter filer, der har brug for gendannelse, samt en mulighed for at fortryde slette filer, som RansomOff kan have slettet ved en fejl. I min test så jeg aldrig denne funktion i handling; det hjalp ikke med den ene irriterende ransomware-prøve, der krypterede mine dokumenter.

Gendannelsesfunktionen i Check Point ZoneAlarm Anti-Ransomware viste sig både enklere og mere effektiv. I alle tilfælde tilbød den at gendanne alle krypterede filer og gjorde det med succes. Den eneste fejl i testen involverede rapporteringsfejl en gang, når det faktisk lykkedes.

Acronis Ransomware Protection tager en anden tilgang til sikkerhedskopiering. Det opretter en krypteret cloud-sikkerhedskopi af filerne i dine beskyttede mapper, værd op til 5 GB, og gendanner alle filer, der er beskadiget af ransomware, efter at eliminering af truslen.

Mappebeskyttelse

Hvis du klikker på mapper, åbnes RansomOffs tilladelsesbaserede beskyttelse for mapper, du angiver. Ligesom Bitdefender Antivirus Plus, Trend Micro og et par andre, kan det forhindre, at uautoriserede programmer ændrer filer, men det tilbyder flere andre muligheder. Du kan få det til at nægte al adgang til filer i den beskyttede mappe, skjule eksistensen af ​​disse filer eller blokere lancering af eksekverbare filer fra det beskyttede sted. Denne sidste er nyttig mod trusler som TeslaCrypt, der slipper en tilfældigt navngivet eksekverbar fil i mappen Dokumenter og starter den.

Forvirrende administrerer du beskyttelse ved at tilføje mapper til en af ​​fem forskellige lister: Afvis, bedrag, skjul, skrivebeskyttet og ingen udførelse. En mappe kan kun besætte en af ​​disse lister ad gangen. For at starte, føjede jeg mappen Dokumenter til listen Afvis. Dette bør nægte både læse- og skriveadgang til beskyttede filer, som den lignende funktion i Panda Internet Security. Dog gjorde det ikke noget for at forhindre en lille editor, som jeg selv skrev, i at læse og ændre filer.

Det viser sig, at jeg ikke var tæt nok opmærksom. Skærmen viste tydeligt "Beskyttelse ikke aktiveret" under min valgte mappe. Du skal også tilføje mindst en fritaget ansøgning, før RansomOff starter dens beskyttelse. Jeg føjede Windows Stifinder til listen med fritagelser for at aktivere beskyttelse. Derefter dukkede Dokumenter-mappen ikke engang op i min lille redaktørs åben-fil-dialog.

Jeg valgte Skift beskyttelse og flyttede min beskyttede mappe til listen Kun læst. Denne gang indlæste min lille editor en tekstfil fra den beskyttede mappe, men et forsøg på at gemme en ændret version fik en besked, der siger "Stream skrivefejl." Det er skuffende. Trend Micro RansomBuster og flere andre lignende programmer rapporterer den forsøgte adgang og giver dig en chance for at hvidliste applikationen. Når du lige har installeret et nyt dokument eller fotoredigeringsprogram, kan du let hvidliste det på dette tidspunkt.

I processen med at prøve min lille editor, opdagede jeg mange filer i mappen Dokumenter, der simpelthen ikke blev vist i Windows Stifinder. Som RansomFree og CyberSight RansomStopper bruger RansomOff faktisk "agn" -filer til at hjælpe med detekteringen. Det skjuler dem generelt for visningen, ligesom RansomStopper, men de dukker op i nogle situationer.

Brug for tuning

De fleste ransomware-specifikke beskyttelsesværktøjer er super-strømlinede og udfører deres job stille og roligt med lidt behov for brugerinteraktion eller konfiguration. Installation af et sådant værktøj ved siden af ​​din eksisterende antivirusbeskyttelse giver dig et simpelt sekundært beskyttelseslag. RansomOff er langt mere kompliceret end nogen af ​​sine konkurrenter med avancerede indstillinger og funktioner, der forvirrer uden en grundig læsning af dokumenterne. Ved testning detekterede det alle ransomware-prøver, men lad en af ​​dem kryptere filer på trods af detektion.

Teknikere kan nyde det, men i øjeblikket er det bare for kompliceret for den gennemsnitlige bruger. På den lyserøde side er udviklerne hurtige til at løse problemer, endda opdatere programmet for at løse et par problemer under min gennemgang. Jeg ser frem til en version, der ikke kræver så meget af den gennemsnitlige bruger.

Med en enklere grænseflade og fremragende gendannelse er Check Point ZoneAlarm Anti-Ransomware et redaktørens valg til ransomware-beskyttelse. Hvis det ikke er det, du har tænkt på at betale for endnu et sikkerhedsværktøj, er CyberSight RansomStopper gratis, og det er også et redaktørvalg på dette område.