Преглед и рейтинг на безжичен Cybereason

Ако антивирусът ви не успее да хване троянски за кражба на данни, можете да получите нова кредитна карта. Ако действителният вирус изпревари защитните си сили, агресивен инструмент за почистване трябва да се погрижи за проблема. Но ако антивирусът ви пропусне атака за откуп, може да загубите всичките си документи или дори да загубите достъп до компютъра си. Оттук идва RansomFree на Cybereason. Тази безплатна, специализирана помощна програма за защита от компютърна защита работи заедно с съществуващия ви антивирусен софтуер. Той се съсредоточава 100 процента върху откриването и предотвратяването на зараза с откуп, като наблюдава за поведение, общо за тези атаки. При тестване, с гадни, реални проби от зловреден софтуер, той върши работа.

Членовете на екипа на Cybereason се обучиха в елитния отдел 8200 на Израелския разузнавателен корпус, екип, посветен на киберсигурността. Те режат зъбите си на кибератаки на военно ниво и сега доставят отбрана от висок клас на големи компании, включително SoftBank, Vizio и Lockheed Martin. Тъй като епидемията от ранзуерни програми започна да излага на риск повече потребители, изпълнителният директор на компанията реши да извлече компонента от рансъмуер от пълния пакет за сигурност Cybereason и да предостави безплатната защита на потребителите. Малките предприятия също могат да го използват; по-големите бизнеси трябва да обмислят пълноценната услуга Cybereason.

Веднага след инсталирането, RansomFree започва да защитава вашата система срещу износ. Той работи на заден план, като наблюдава за поведение, специфично за извличане на софтуер. Като част от този процес, той създава "примамка" файлове на главни места като Desktop и Documents. Няма антивирусни подписи; RansomFree разчита на основано на поведение откриване.

Атака на Ransomware

RansomFree беше сред първите специфични инструменти за сигурност, които прегледах миналата година. По онова време имах само няколко образци от реалния свят, плюс ръчно модифицирани варианти на тези. Сега разполагам с половин дузина проби, обхващащи различни фамилии за откупуване. RansomFree откри и блокира всички тях.

Когато забележи процес, действащ като софтуер за откупуване, RansomFree спира този процес и показва голямо предупреждение. Щракнете върху Да, за да прекратите процеса и да изчистите всички проблеми. Можете също да щракнете върху Не, но не препоръчвам това. Има връзка за преглед на всички файлове, създадени, модифицирани или изтрити от нарушаващия процес. Преглеждайки тази информация, можех да видя например, че един атакуващ създаде изпълним файл с произволно име право в папката „Документи“ и прехвърли контрола върху тази програма. Друг изтри присъствието си на диска след зареждане в паметта.

В някои случаи RansomFree изскочи два или дори три пъти; Винаги съм щраквал върху Да. След завършване, той предупреди, че може би е оставил след себе си бележка за откуп или друг детрит, който трябва да почистите ръчно. Наистина открих бележки за откуп в няколко случая.

Сблъсках се с няколко продукта, които не успяха да предотвратят атака за извличане на софтуер, стартирана при стартиране на Windows. IObit Advanced SystemCare Ultimate е пример, както и безплатният CyberSight RansomStopper. Когато конфигурирах извадка от софтуер за стартиране при стартиране, RansomFree нямаше проблеми с откриването и прекратяването му.

Имам под ръка малък, опростен симулатор, програма, който сам написах. Всичко, което прави, е да намери текстовите файлове в папката „Документи“ и да приложи към тях криптиране XOR. Тази техника просто завърта всички битове към нула и всички нулеви бита към един; прилагайки го втори път, декриптира файла. Това се оказа твърде простодушно, за да забележи RansomFree и наистина не е наистина разрушително. Доста други конкурентни помощни програми пренебрегнаха моя FakeCryptor, сред които Acronis и CryptoDrop Anti-Ransomware.

Дисково криптиране на диск

Най-често срещаният тип извличащ софтуер криптира основните ви файлове, но оставя компютъра да работи. Това има идеален смисъл, тъй като жертвата се нуждае от интернет и компютър, за да плати откупа. Съществува обаче друг, по-рядко срещан тип, който извършва криптиране на целия диск, ефективно блокирайки устройството, докато не платите. Прословутият изкупващ софтуер на Петя е един такъв и успях да примъкна проба на Петя.

Помощните помощни програми за защита, основани на поведение, не защитават непременно от този тип атака. От четирите други продукта, които тествах след получаването на пробата Petya, Acronis и RansomStopper предотвратиха атака на Petya, но Malwarebytes Anti-Ransomware Beta и CryptoDrop не успяха.

Публикация в блога за Cybereason ме накара да мисля, че RansomFree може да спре Петя. Въпреки това, когато стартирах моята проба, тя продължи да срива системата и да се преструва на ниско ниво на поправка на диска при рестартиране. В действителност той шифроваше диска, а не го поправяше. Струва си да се отбележи, че дисково-криптиращото извличане на софтуер е много по-рядко срещано от типа на криптиране на файлове и че вашият антивирус най-вероятно ще го хване, преди да може да причини някаква вреда.

Симулирана Ransomware Conundrum

KnowBe4 е компания, известна повече с обученията си за борба с риболова, отколкото с продуктите, но предлага безплатен RanSim Ransomware Simulator. Без да докосва нито един от вашите собствени ценни файлове, RanSim симулира десетте най-често срещани техники за извличане на софтуер, както и две безобидни техники, свързани с защитата от компютърни програми не трябва да блокира.

Инсталирах RanSim на тестовата система и пуснах нейните тестови последователности с разочароващи резултати. RansomFree правилно се въздържа от намеса в двата фалшиво-положителни сценария, но също така не направи нищо, за да блокира 10-те сценария за извличане на софтуер.

След малко копаене, надраскване по главата и конфугиране както с Cybereason, така и с KnowBe4, стигнах до разбирането на проблема. RanSim поставя своите тестови файлове в папки в папки, четири нива под папката Документи. Криптирането на такива файлове, без да се докосва до действителното съдържание на папката „Документи“, просто не е поведение, съвпадащо с никакъв реално използван софтуер. Така RansomFree го игнорира. Acronis блокира всичките 10 сценария, а Malwarebytes получи осем. Други изтриха цялата тестова платформа, което означава, че не може да отчете никакви резултати.

Други пътища

Ransomware е сериозен проблем, така че не е изненадващо, че други компании са измислили свои собствени методи за борба с него. Всички откриване на злонамерен софтуер в Webroot SecureAnywhere AntiVirus се основава на поведение, а не само на откриване на откупи. Антивирусът незабавно заличава всеки процес, който съответства на съществуващите профили на поведение на злонамерен софтуер. Ако не е 100 процента ясно, че даден заподозрян процес е злонамерен, Webroot регистрира своите местни действия и виртуализира всякакви необратими действия, като изпращане на информация през интернет. Когато по-късно неговият облачен анализ идентифицира този съмнителен процес като злонамерен софтуер, локалният клиент използва данните от журнала, за да обърне всички действия от този процес, включително да обърне действията за криптиране, извършени от ransomware.

Трябва да закупите пълния пакет за сигурност на Panda Internet Security, за да получите защита от компютърна защита от Panda; автономният антивирус не включва компонента Data Shield. Data Shield има за цел да защити вашите скъпоценни документи срещу всеки неоторизиран достъп, така че ransomware не може да шифрова вашите файлове, а троянските сърца не могат да откраднат вашите данни. Ако Panda открие опит за достъп от която и да е неоторизирана програма, тя ви пита дали да го разрешите. Естествено ще дадете разрешение на новия текстов текстообработвател, който току-що сте инсталирали, но ако заявката излезе непрозрачно, откажете го!

Trend Micro Antivirus + Security и Avast Internet Security са сред другите продукти, които фолират откъм софтуер, като предотвратяват неправомерно модифициране на файлове. Те обаче не пречат на достъпа само за четене, както прави Панда.

В сферата на инструментите, специално създадени за борба със злонамерен софтуер, почти всички използват откриване на базата на поведение. Bitdefender Anti-Ransomware е изключение; тя работи, като подрива собствените техники на ransomware за избягване на двойно криптиране, „ваксинира“ системата, така че ransomware смята, че вече е свършила своята работа.

Check Point ZoneAlarm Anti-Ransomware допълва засичането на базата на поведение със система за възстановяване на всички файлове, които може да са били криптирани преди откриването. В тестването се справи перфектно, дори премахвайки разпръснатите бележки за откуп.

С Acronis Ransomware Protection получавате 5 GB облачно хранилище за вашите чувствителни файлове. Ако ransomware криптира файл или два преди откриването, Acronis просто се възстановява от защитения си архив. Ако 5GB се окаже недостатъчен, винаги можете да надстроите до услугата за архивиране на Acronis True Image на компанията, която естествено включва компонента за защита от отваряне.

Trend Micro RansomBuster излиза навън, борейки се с откупуващ софтуер на множество фронтове. Неговата папка Shield блокира модифициране на чувствителни файлове, използва въз основа на поведението откриване и възстановява файловете от сигурно съхранение, ако е необходимо. Въпреки това, когато изключих Folder Shield за тестване, откриването на базата на поведение пропусна няколко проби.

Окачване и колан

RansomFree е, както подсказва името, безплатен и когато го тествахме с реалния, гаден изкупвачен софтуер, той ни послужи. Това в никакъв случай не е универсално решение, но е полезно допълнение към вашата универсална програма за защита от злонамерен софтуер. Инсталирах го на основния си производствен компютър и бих ви предложил да помислите как да го добавите или друга безплатна програма за защита от рансъм софтуер, която да допълни вашата пълномащабна антивирусна защита.

Check Point ZoneAlarm Anti-Ransomware е изборът ни на редакторите за сигурност, специфична за откуп. Въпреки че не е безплатен, той също не е скъп. Той се защитава от всички наши извадкови софтуерни проби и възстановява файловете, ако е необходимо, без да стърчи файлове за примамка из системата.