Съдържание:
- Първи стъпки с анти-Ransomware ZoneAlarm
- Борба с реалния свят
- Страшен фалшив старт
- Най-добрата защита от Ransomware
Видео: ZoneAlarm Anti Ransomware Tested! (Октомври 2024)
Смисълът на шифроване на файлове откъм софтуер не е да деактивирате вашия компютър. В крайна сметка ще ви трябва онзи компютър, който работи, за да плати откупа. Най-уязвимите файлове са вашите документи, изображения и други лични файлове, така че някои продукти осуетяват откуп, като забраняват неоторизирани промени в тези файлове. Bitdefender Antivirus Plus, Trend Micro RansomBuster и Panda Internet Security са сред продуктите, които използват този тип защита. Когато процес се опита неоторизиран достъп, получавате известие. Ако вашата нова помощна програма за редактиране на изображения е задействала предупреждението, просто я добавяте в списъка с доверие. Но ако предупреждението не съвпада с нищо, което правите, блокирайте го!
Panda Dome Advanced отива една крачка напред, блокирайки дори достъп само за четене от неоторизирани програми. В допълнение към избягването на рансъмуер, това ниво на защита може да служи и за фолиране на троянци за кражба на данни.
Преди дадено решение за сигурност може да анализира поведението на програмата за сигнални сигнали за износ на софтуер, трябва да види някакво поведение. По време на този период на атакуващият може да криптира няколко файла или дори много файлове. Acronis Ransomware Protection включва откриване на базата на поведение, заедно с неговата централна функция за архивиране, но също така може автоматично да възстанови всички криптирани файлове от сигурно онлайн архивиране. ZoneAlarm също има за цел да възстанови всички файлове, ударени от ransomware.
Първи стъпки с анти-Ransomware ZoneAlarm
Можете да използвате този продукт безплатно за 30 дни и дори не е нужно да предоставяте информация за кредитни карти. Можете да се откажете без такса до 30-дневния срок, но след това ще плащате $ 1, 99 на месец.
Инсталирането е бързо и просто. След минути виждате големия, супер прост основен прозорец. Всичко, което казва, е, че защитава вашите файлове от откъм софтуер. Няма настройки, няма регистрационни файлове, нищо освен този прост, успокояващ екран. Можете да сведете до минимум програмата до нейната икона в областта за уведомяване и никога да не мислите за нея отново… докато не атакуват ransomware. Може да забележите някои нови файлове в папката „Документи“ и другаде; като Cybereason RansomFree и RansomStopper, ZoneAlarm създава "примамка" файлове, за да помогне за улавяне на поведение на откуп.
Борба с реалния свят
Как да тествате инструмент за защита, използван от поискване, базиран на поведение? Наистина, единственият начин да го направите е да използвате живо, реално извлечение от реалния свят. Инструментите за симулиране могат да бъдат полезни, но всеки симулатор, който напълно и наистина емулира поведение за извличане на софтуер, сам по себе си би бил изискан софтуер. За да проверя защитата от рансъмуер от ZoneAlarm и подобни продукти, използвам проби от рансъмуер, открити в природата. Естествено провеждам това тестване в изолирана виртуална машина, която се изтрива след всеки тест.
Аз добавям към моята колекция от рансъмуер, тъй като намирам нови проби, но не хвърлям стари. Средствата за защита от Ransomware не са като обикновени антивирусни програми. Те не търсят известни нападатели, а по-скоро за атакуващо поведение. Следователно няма полза от използването на по-стари проби. Вече тествах ZoneAlarm с повечето от настоящите ми проби, но повторих теста независимо. Радвам се, че го направих, тъй като по този начин разкри проблем (бързо отстранен) с една версия на софтуера.
Малко след като пуснах първата проба, се появи основният прозорец на ZoneAlarm с голямо предупреждение, че е открил атака за откуп. Преходното изскачане в стила на тостер също обяви това откритие. Моите контакти на Check Check посочиха, че това изскачащо меню не е излишно. Ако сте обградени в модерно приложение за потребителски интерфейс, ще видите изскачащия прозорец, но не и основния прозорец.
След кратко време приложението обяви, че е поставило под карантина ранзуера. Той предупреди, че атаката промени някои файлове и предложи да поправим засегнатите файлове. Дори не съм сигурен защо това не е задължително - кой би казал „не“ за поправка? За тестване винаги съм избирал опцията за ремонт.
На страницата, която изброява засегнатите файлове, има връзка, озаглавена Not Ransomware. В рядкото събитие, когато ZoneAlarm случайно идентифицира валидна програма като софтуер за извличане, щракването върху тази връзка е вашият шанс да спасите програмата. Не видях фалшиви позитиви, така че за всеки случай реших да поправя файловете и проверявах състоянието на тези файлове след това. ZoneAlarm възстанови криптираните файлове и заличи бележки за откуп и други спомагателни файлове, изпуснати от отбора.
В единия случай, софтуерът за откупуване беше убил Windows Explorer, не оставяше нищо видимо, освен случайната му бележка. Когато ZoneAlarm приключи, имах един празен екран за разглеждане. Трябваше да създам Task Manager и да пусна отново Windows Explorer. Повтаряйки теста, установих, че принуждаването на твърд ресет също направи трика.
Атаката на Petsa ransomware се различава от всички останали мои проби. Вместо да криптира файлове, той фалшифицира системна срив и се преструва, че изпълнява CHKDSK при рестартиране. Зад кулисите криптира целия ви твърд диск. Не просто губите файлове на Петя; губите всеки достъп до компютъра си.
Когато пуснах пробата Petya, ZoneAlarm я улови веднага, както и RansomStopper и Acronis. Не съм тествал всеки защитен продукт срещу Retsomware срещу Petya, но CryptoDrop Anti-Ransomware, Malwarebytes и RansomFree не защити срещу атаката на Petya.
В крайна сметка ZoneAlarm се оказа напълно успешен срещу всички мои извадки от реномиран софтуер. RansomFree откри моите проби, но не почисти неща като бележки за откуп. Malwarebytes позволяват на ransomware да криптира няколко файла, преди да успее да спре процеса. Acronis тотално пропусна една от моите проби, но иначе се справи добре. CryptoPrevent Premium пропусна повечето от моите проби, въпреки че затрупа работния плот с множество файлове за примамка. Само RansomStopper се справи по-добре, блокирайки всички проби, без да се изисква фаза на почистване след това.
Симулираният откъм софтуер не е напълно без стойност. Решение за откупуване може да демонстрира успех, като блокира симулациите. Просто не приемам провала за блокиране на симулирани атаки като действителен провал. Преди това, когато се опитах да тествам ZoneAlarm с помощта на рансъмуерния симулатор RanSim от KnowBe4, той заличи помощните процеси на програмата, правейки оценката невъзможна. Този път той се оказа по-малко тежък, успешно блокира всички 10 симулационни сценария и оставя програмата жива, за да отчете успеха си.
Страшен фалшив старт
По време на моето тестване този преглед прочете много различно. Беше пълен с коментари за сривовете на ZoneAlarm многократно и не успява да почисти проблемите с износ. По време на този кръг на тестване, ZoneAlarm постигна пълен успех на по-малко от половината от моите проби.
Изкопавайки се в дневници с контактите си във фирмата, научих какво се е случило. Check Point пусна лоша версия на продукта, единият обект на сривове, но бързо го замени на официалната връзка за изтегляне, тази, предоставена на плащащи клиенти. За съжаление, връзката за изтегляне на пробната версия запази дефектния код. Изтеглих пробната версия и след това надстроих с помощта на регистрационен ключ, който ме остави с предразположената към срив версия.
Решихме проблема и ZoneAlarm отново се оказа напълно ефективен. Но се чудя колко хора грабнаха лош код от пробната връзка преди да бъде фиксирана? И защо пробното издание не надстрои автоматично до най-новия, най-голям код? Този страшен фалшив старт доведе до иначе отлично представяне.
Най-добрата защита от Ransomware
Защитата на Ransomware все още е ново поле, като новите продукти се появяват непрекъснато. Сред инструментите, специфични за откуп, които видях, ZoneAlarm Anti-Ransomware е ясен победител. Успешно се справи с всички мои извадки от реалния софтуер и фиксира всички промени, извършени от процесите на извличане на софтуер, включително изтриване на бележки за откуп, които някои други продукти оставят след себе си. Ако се притеснявате за откупния софтуер (и трябва да бъдете), цената от 1, 99 долара на месец може да изглежда просто добре.
Ако не сте готови да харчите цената на чаша кафе всеки месец, все още можете да получите ефективна защита срещу откуп. CyberSight RansomStopper не струва и стотинка и се справи също толкова добре при тестване, както направи ZoneAlarm. Бихте могли да спорите, че се е получило по-добре. Там, където ZoneAlarm поправя всички засегнати файлове, RansomStopper никога не е допускал шифроване на първо място. Тези два са продуктите на нашия редактор за избор за специализирана защита от компютър.
