Преглед и оценка на защитата от защита от компютърни продукти на Acronis

Зловредният софтуер се предлага в много разновидности и теоретично вашият антивирус трябва да се справи с всички тях. И все пак е интелигентно да добавите допълнителен слой защита срещу извличане на софтуер. Ако вашият антивирус пропусне чисто нов троянски или вирус, добре, той вероятно ще го хване със следващата актуализация. Но премахването на софтуер за извличане не отменя щетите. Все още нямате своите криптирани файлове обратно. Ето защо добавянето на нещо като безплатната защита от Ransomware Acronis е интелигентен ход.

Acronis представи своята технология Active Protection като част от своята помощна програма за архивиране Acronis True Image. Acronis Ransomware Protection предлага абсолютно същата технология безплатно и хвърля 5 GB хоствано онлайн резервно копие като втора линия на защита. Естествено, компанията се надява да ви хареса толкова много, че да пролетте за платения резервен продукт.

Първи стъпки с защитата от Ransomware Acronis

Изтеглянето на помощната програма, регистрацията за акаунт и стартирането на инсталатора отнема само няколко минути. След кратък урок, продуктът влиза в действие незабавно, като оценява всички активни процеси като безопасни или подозрителни. За разлика от простите, статични дисплеи на RansomFree и Malwarebytes Anti-Ransomware Beta, Acronis показва цветна движеща се графика на активни процеси през последните минути. Зеленото представлява безопасни процеси, докато подозрителните се показват като сини. Червена линия на графиката показва засичане на поведение, предполагащо извличане на софтуер.

Вашата настройка не е завършена, докато не идентифицирате важни файлове за онлайн архивиране. Това е толкова просто, колкото пускането на файлове или директории в главния прозорец на програмата. Можете да добавите повече файлове за защита по всяко време, до ограничението от 5 GB.

Блокиране на Ransomware

Когато Acronis открие подозрителна активност, тя изскача предупредителен прозорец и ви пита дали да се доверите или блокирате процеса. Ако сте заети с използването на програма за архивиране за компресиране и криптиране на файлове, просто щракнете върху Доверие. Ако съобщението е неочаквано, щракнете върху Блокиране.

След като щракнете върху Блокиране, друга изскачаща програма предлага да възстанови всички засегнати файлове. Имайте предвид, че това не означава възстановяване от резервно копие. Acronis може да възстанови всякакви такива файлове от своя локален кеш. Резервното копие е допълнителна линия на защита. С вероятността възстановяването да не е ефективно, Acronis запазва криптираните файлове в специална папка.

Второто изскачащо меню също заявява: „Можете да включите в черен списък този процес, за да го блокирате за постоянно“, което ме обърка малко. Нямаше връзка към черния списък на програмата и, разбира се, тя не се появи в изгледа Управление на процесите, защото Acronis вече я прекрати.

Открих, че пускането на една и съща проба два пъти и блокирането й втори път получи малко по-различен резултат. Изскачащото предупреждение добави квадратче за отметка „Запомни моя избор за този процес“, поставено отметка по подразбиране. Този път щракването върху Блокиране включи в черен списък процеса и предложи връзка към страницата Управление на процесите.

Моят контакт в Acronis потвърди, че това работи както е проектирано и наистина е ефективно. Смятам обаче, че съобщенията могат да бъдат по-ясни.

Acronis в действие

Единственият начин да бъдете сигурни, че продуктът за защита от отвличане на софтуер работи е да го изложите на реалния софтуер. Имам половин дузина проби, които използвам за този вид тестване. Acronis блокира всички, освен един от тях, което е по-добре от много. RansomFree също пропусна един. CryptoPrevent Premium пропусна половината проби, а някои от тези, които хванаха, успяха да шифрат множество файлове преди откриването.

Bitdefender Anti-Ransomware също пропусна половината от пробите, но трябва да отбележа, че Bitdefender не се опитва да открие поведение на изнурително софтуер. По-скоро тя ваксинира системата срещу известни откупи, като засажда флагове, които правят системата да изглежда, че вече е заразена.

От обратната страна Malwarebytes и Check Point ZoneAlarm Anti-Ransomware хванаха всички мои проби, въпреки че една проба успя да кодира шепа файлове, преди Malwarebytes да я затвори. Единствената грешка на ZoneAlarm беше, че съобщава, че не е успял да възстанови всички файлове в един случай, когато всъщност е успял.

Преди да имам действителни проби за извличане на софтуер, написах много прост симулатор за извличане на софтуер, който нарекох FakeCryptor. Той се стартира при стартиране, търси текстови файлове в папката „Документи“ и ги криптира с помощта на прост, обратим алгоритъм. Системите за детекция на базата на поведение често не откриват този простодушен инструмент, тъй като не използват сериозните алгоритми за криптиране, открити в истински софтуер. Acronis не го определи като подозрителен, въпреки че RansomStopper и Trend Micro RansomBuster. Това не е черен знак за Acronis, тъй като тази програма всъщност не е софтуер за откупуване.

При тестване открих, че CyberSight RansomStopper хвана моята програма FakeCryptor, когато я стартирах ръчно, но не и когато стартира при стартиране. Това предложи нов тест. Взех проба за откупи, която Acronis определено прекъсна, пуснах я в папката Startup и рестартирах системата. Подобно на RansomFree, Acronis успешно блокира атаката на ransomware при стартиране на системата.

Наскоро се сдобих с проба от страховития измамник на Петя. Този е различен. Вместо да криптира конкретни файлове, той извършва криптиране на цял диск, което означава, че изобщо не можете да използвате компютъра си. Тествах само няколко продукта с Petya и резултатите са смесени. Подобно на RansomStopper, Acronis улови атаката, преди да може да нанесе някаква вреда. Но Cybereason RansomFree и Malwarebytes се съсредоточават стриктно върху извличащия софтуер за криптиране на файлове, така че са го пропуснали.

Симулиран Ransomware

Компанията за сигурност на разузнаването KnowBe4 предлага безплатен симулатор за откуп, наречен RanSim. Този инструмент изпълнява 10 помощни програми, които симулират 10 различни типа поведение на ransomware, както и два процеса, които изпълняват законни задачи за криптиране и по този начин не трябва да бъдат блокирани. В този тест отбелязвам високи резултати, но не санкционирайте за ниски резултати. В края на краищата това са само симулации, а не действителни откъм софтуер. RansomFree, например, ги игнорира напълно, както и RansomStopper.

Подобно на RansomBuster, Acronis откри и блокира всички 10 от симулираните атаки за износ на софтуер и неправилно блокира един от невинните процеси. ZoneAlarm елиминира всички помощни процеси, преди да могат да стартират, оставяйки RanSim не в състояние да предложи резултат.

Други подходи

Подобно на повечето инструменти за защита от софтуер, Acronis разчита на откриване на базата на поведение. Той също така включва две нива на възстановяване на файлове, локален кеш и онлайн архивиране. Но това не са единствените подходи за отказ от атаки за извличане на софтуер.

Както беше отбелязано, безплатният инструмент за борба с извличането на Bitdefender заблуждава някои известни типове рансъмуер, като мисли, че е заразил системата. Bitdefender Antivirus Plus прави доста повече. В допълнение към откриване, основано на поведението, на рансъмуер и други злонамерени програми, той блокира неоторизирано модифициране на всички файлове в папки, които сте посочили за защита. Ако се появи, когато използвате нов редактор на изображения за първи път, просто въведете в белия списък програмата. Ако се появи, когато не сте направили нищо, блокирайте нападателя.

Trend Micro Antivirus + Security и RansomBuster също блокират неоторизиран достъп до защитени файлове. Panda Internet Security и IObit Malware Fighter 5 Pro правят нещата още повече, като не позволяват на неоторизирани програми дори да четат защитени файлове.

Webroot SecureAnywhere AntiVirus използва необичаен подход за откриване на злонамерен софтуер като цяло. Когато се натъкне на неизвестен процес, той започва да регистрира всички дейности и да изпраща поведенчески данни към своята система за анализ в облака. Освен това предотвратява всякакви необратими действия като предаване на вашите лични данни от компютъра. Ако облачната система реши, че процесът е злонамерен, Webroot го прекратява и преустановява цялата си активност. Този процес може да обърне атака за извличане на софтуер, въпреки че Webroot предупреждава, че има ограничение за това колко данни за активност може да кешира.

Добър избор

Acronis Ransomware Protection е чудесно допълнение към вашия арсенал за сигурност. Той работи заедно с вашия антивирус като втори слой на защита срещу атака, използвана от софтуер. За още един слой защита той предлага резервно копие в облак за 5 GB от най-важните ви файлове. Като се има предвид, че и двамата са безплатни, може също да искате да изпробвате Cybereason RansomFree и Malwarebytes Anti-Ransomware, преди да вземете окончателно решение.

Изборът на нашите редактори в областта на защитата от рансъм софтуер не е безплатен, въпреки че не е скъп. Check Point ZoneAlarm Anti-Ransomware струва $ 2, 99 на месец за три лиценза. Той се превърна в отлично представяне при нашето практическо тестване, като открихме всички образци на рансъмуер и правилно възстановихме всички файлове. Единствената му грешка беше неправилно съобщаване, че не е възстановил успешно файловете.