Преглед и рейтинг на Cybersight ransomstopper

Ransomware Protection

Когато RansomStopper открие атака за откуп, той прекратява процеса на нарушение и изскача предупреждение в областта за уведомяване. Щракването върху предупреждението ви позволява да видите кой файл е причинил проблема. Има опция за премахване на програми от списъка с блокирани процеси - заедно с предупреждение, че това е лоша идея.

Изчакването за откриване на поведение на ransomware понякога може да означава, че ransomware криптира няколко файла преди прекратяването. Когато тествах Malwarebytes, той загуби няколко файла по този начин. Check Point ZoneAlarm Anti-Ransomware активно възстановява всички криптирани файлове. При моето тестване го направи за всяка извадка от софтуер за извличане. RansomStopper обаче спря същите проби, без да позволи криптиране на никакви файлове.

За бърза проверка на здравословния разум стартирах обикновена фалшива програма за издирване, която сам написах. Всичко, което прави, е да търси текстови файлове в и под папката „Документи“ и да ги шифрова. Той използва прост, обратим шифър, така че вторият цикъл възстановява файловете. RansomStopper го хвана и му попречи на шикозността. Дотук добре.

Внимание, живо Ransomware

Единственият сигурен начин за тестване на защита от защита от защита от поведение е чрез използване на жив откъм софтуер. Правя това много предпазливо, като изолирам моята система за тестване на виртуална машина от всякакви споделени папки и от интернет.

Този тест може да бъде обиден, ако анти-ransomware продуктът не успее да го открие, но моят тест RansomStopper премина безпроблемно. Подобно на ZoneAlarm и Malwarebytes, RansomStopper хвана всички проби и не намерих никакви файлове, криптирани, преди да се открие поведенческо поведение. Cybereason RansomFree се справи доста добре, но го пропусна.

Също така тествам с помощта на RanSim на KnowBe4, полезна програма, която симулира 10 вида атака за рансъмуер. Успехът в този тест е полезна информация, но неуспехът може просто да означава, че детекцията на базата на поведение правилно е определила, че симулациите не са истински откуп. Подобно на RansomFree, RansomStopper игнорира симулациите.

Опасност от време за зареждане

Поддържането под радара е голяма работа за откупи. Когато е възможно, той прави мръсните си дела мълчаливо, като излезе само с искането си за откуп, след като шифрова вашите файлове. Наличието на права на администратор прави работата на ransomware по-лесна, но стигането до тази точка обикновено изисква разрешение от потребителя. Съществуват решения, за да получите тези привилегии мълчаливо. Те включват подреждане на piggyback в процеса на Winlogon по време на зареждане или задаване на планирана задача за времето на стартиране. Обикновено ransomware просто организира да стартира при стартиране и след това принуждава рестартиране, без да изпълнява никакви задачи за криптиране.

При по-ранното си тестване открих, че ransomware може да криптира файлове по време на зареждане, преди RansomStopper да започне. Моята собствена фалшива програма за криптиране управлява този подвиг. Той шифрова всички текстови файлове в и под папката Документи, включително текстовите файлове за примамка на RansomStopper. (Да, тези файлове са в папка, която RansomStopper активно крие, но имам своите методи…) Освен това пропусна и извадка от реалния софтуер, която съм пуснала при стартиране.

Дизайнерите на CyberSight тестваха редица решения за този проблем и пуснаха нова версия, която изпреварва ранния софтуер за зареждане. Тествах го; тя работи, премахвайки едно петно ​​върху резултатите от теста на RansomStopper сега.

RansomFree работи като услуга, така че е активен преди всеки редовен процес. Когато извърших същия тест, като зададох реална извадка за извличане на софтуер за стартиране при стартиране, RansomFree също го хвана. Malwarebytes също преминаха този тест. RansomBuster откри атаката при зареждане и възстанови засегнатите файлове.

За да проуча по-нататък този проблем, получих извадка от изкупващия софтуер на Petya, която създаде проблеми по-рано тази година. Това специфично напрежение срива системата и след това симулира ремонта на времето за зареждане от CHKDSK. Това, което всъщност прави, е криптирането на вашия твърд диск. Malwarebytes, RansomFree и RansomBuster не успяха да предотвратят тази атака. RansomStopper го хвана преди да може да доведе до срив на системата - впечатляващо! ZoneAlarm също предотврати атаката на Петя. За да бъдем справедливи към останалите, този не е типичен отпечатващ софтуер за шифроване на файлове. По-скоро той заключва цялата система чрез криптиране на твърдия диск.

Изпитвайки контактите си, научих, че атаките за извличане на време за зареждане, включително Petya, стават все по-рядко срещани. Въпреки това добавих този тест към репертоара си.

Други техники

Откриването на базата на поведение, когато се прилага правилно, е отличен начин за борба с откупуващия софтуер. Това обаче не е единственият начин. Trend Micro RansomBuster и Bitdefender Antivirus Plus са сред онези, които фолират откъм софтуер чрез контролиране на достъпа до файлове. Те предотвратяват ненадеждните програми да правят всякакви промени във файлове в защитени папки. Ако ненадеждна програма се опита да модифицира вашите файлове, получавате известие. Обикновено получавате възможността да добавите неизвестната програма към доверения списък. Това може да бъде полезно, ако блокираната програма беше вашият нов редактор на текст или снимки. Panda Internet Security отива още по-далеч, предотвратявайки ненадеждните програми дори да четат данни от защитени файлове.

Мошениците на Ransomware трябва да се грижат, че ще могат да дешифрират файлове, когато жертвата плаща. Шифроването на файлове повече от веднъж може да попречи на възстановяването, така че повечето включват маркер от някакъв вид, за да се предотврати втора атака. Bitdefender Anti-Ransomware използва тази техника, за да заблуди конкретни семейства за откуп, за да мисли, че вече са ви нападнали. Имайте предвид обаче, че тази техника не може да направи нещо относно чисто новите типове извличане на софтуер.

Когато Webroot SecureAnywhere AntiVirus се сблъска с неизвестен процес, той започва да регистрира цялата дейност по този процес и да изпраща данни в облака за анализ. Ако процесът се окаже злонамерен софтуер, Webroot отменя всичко, което е направил, дори отменя работата на откупния софтуер. ZoneAlarm и RansomBuster имат свои собствени методи за възстановяване на файлове. Когато анти-ransomware компонентът на Acronis True Image избие атака, използвана от компютър, той може да възстанови криптирани файлове от собствения си защитен архив, ако е необходимо.

Сега победител

CyberSight RansomStopper откри и блокира всички мои извадки от реалния софтуер, без да губя никакви файлове. Той откри и моя прост ръчно кодиран симулатор за откуп. И блокира атака на Петя, при която няколко конкурентни продукта се провалиха.

По-рано RansomStopper проявяваше уязвимост към ransomware, който се изпълнява само в момент на стартиране, но моите източници твърдят, че този тип атака става все по-рядко срещана и CyberSight отстранява този проблем. Други безплатни продукти имаха свои проблеми. RansomFree пропусна една проба в реалния свят, а Malwarebytes позволи на друга извадка необратимо да криптира няколко файла преди откриването й да стартира. RansomBuster се оказа по-лошо, липсваше половината проби напълно (въпреки че компонентът му Folder Shield защитаваше повечето файлове).

RansomStopper и Check Point ZoneAlarm Anti-Ransomware са нашите най-добри избори за специализирана защита от защита. ZoneAlarm не е безплатен, но при $ 2, 99 на месец също не е ужасно скъп. Все пак RansomStopper управлява пълна защита без никакви разходи.