Преглед и оценка на отбранителната защита на Heilig

Разбира се, откупът е главоболие за хората - кой иска да загуби целия си напредък по големия американски роман? Но представете си колко по-лошо е за бизнеса, който може да загуби 100 000 долара на час (или повече), когато ransomware блокира производството. Системите за бизнес сигурност от висок клас се нуждаят от мощна защита срещу износ на софтуер и понякога доставчиците на такива системи правят тази защита достъпна на лично ниво. Такъв е случаят с безплатната Heilig Defense RansomOff, която използва технология, заимствана от високия клас Hielig Defense Correlate.

По подобен начин Cybereason RansomFree капсулира защитата от рансъм софтуер, която се намира в продуктите на фирмено ниво на Cybreason. Въпреки това, когато RansomFree, RansomStopper и повечето други безплатни инструменти, свързани с ransomware, намаляват настройките и взаимодействието с потребителите до минимум, RansomOff включва множество режими и модули, които понякога ме объркват дори.

RansomOff е малко изтегляне и се инсталира бързо. По подразбиране той работи в Simple Mode, описан като "безпроблемна защита." Можете също така да изберете Advanced Mode, за да разгърнете пълния потенциал на RansomOff. " Използвах и двата режима при тестване, както ще видите по-долу.

Прост режим

В стандартния прост режим RansomOff се грижи за бизнеса изцяло на заден план, без да известява, че е прекратил заплахи, различни от кратка анимация на иконата на областта за уведомяване. Когато щракнете двукратно върху иконата, тя показва малък прозорец с бутони за преглед на сигнали и за преминаване към разширен режим.

В този режим RansomOff прекратява извличането на софтуер, но не прави опит за почистване. Винаги можете да видите какво направи, като щракнете двукратно върху иконата и след това щракнете върху Преглед на сигналите. Списъкът с предупрежденията включва чакащи операции за почистване, които можете да стартирате ръчно.

При тестването той откри и прекрати всички мои проби за извличане от реален свят. Гледах анимираната икона, проверявах сигналите и поисках почистване за всеки случай. По-малко от половината проби обаче задействаха сигнал за откриване на Ransomware. В останалата част тя докладва HIPS-Lite Notification, като ми казва, че нарушителната програма се опита да конфигурира себе си за стартиране при стартиране.

Като проверка за разумност пуснах няколко помощни програми от колекцията, която поддържам за фалшиво положителни тестове, като избрах тези, чиято функционалност изисква да стартират при стартиране. Във всеки случай RansomOff елиминира тези напълно законни програми. Не съм наблюдавал подобно поведение в други специфични за ransomware помощни програми. Като се има предвид, че функцията HPS-Lite елиминира както законните, така и злонамерените програми, трудно мога да нарека това откриване на софтуер за извличане.

Разширен режим

За по-нататъшно проучване включих RansomOff в Advanced Mode и повторих теста. Поведението на програмата е много различно в този режим. При откриване на софтуер за откупуване той поема екрана с невъзможно предупреждение за пренебрегване, с молба за разрешение за справяне с проблема. Можете да кликнете за повече подробности, преди да вземете решение. Ако открие промяна на последователността на стартиране или други съмнителни действия, изскача по-малко строго HIPS-Lite известие и пита дали да разреши или блокира промяната.

Отново преминах през пробите, избирайки Block при всякакви предупреждения HIPS-Lite. Резултатите наподобяват това, което видях в Simple Mode, с едно страхотно изключение. Може би поради забавянето, свързано с показването на известието, RansomOff позволи на една проба да криптира файловете в папката „Документи“, преди да я изтрие. Опитах това няколко пъти, в случай, че е флуид; това не се случваше всеки път, но определено се повтаряше.

По-нататък отново опитах примерите, които задействаха HIPS-Lite предупреждения, като избрах Разреши този път. Това беше катастрофа. Казването на RansomOff да позволи модификацията при стартиране също доведе до спиране на мониторинга за издирвателна програма. „Начинът, по който ние виждаме, че в този момент процесът беше признат, че прави нещо и потребителят направи избор по един или друг начин“, обясних моят контакт в Heilig Defense. „В крайна сметка потребителят трябва да бъде по-интелигентен от софтуера или най-малкото, кара ги да мислят малко повече, преди да го позволят.“

Не мога да се съглася. Според мен софтуерът за сигурност, който поставя критичните решения в ръцете на обикновения потребител, е грешка. Това е като стария модел на личната защитна стена, който накара потребителя да бъде отговорен за всички решения за това дали всяка програма трябва да има достъп до мрежата. Други инструменти за защита от компютърна защита вършат работа, без да включват потребителски решения.

Решен да получа ясен поглед върху способностите на програмата, изключих функцията HIPS-Lite и повторих теста си още веднъж. Този път продуктът откри и блокира поведението на рансъмуер във всички проби, много задоволителен резултат. Въпреки това, една проблемна проба все пак успя да криптира файлове, преди RansomOff да го удари.

По-нататъшно тестване

Понякога се сблъсквам с програми за сигурност, които се провалят при стартиране на ransomware при стартиране. Моля да кажа, че RansomOff не е от тях. Когато ръчно зададох няколко проби за стартиране при стартиране на Windows, той ги блокира ефективно.

За една много основна проверка за разумност написах малка програма, която криптира всички текстови файлове в папката „Документи“, използвайки обратимо криптиране XOR. Много помощни програми за защита от защита срещу защитени програми не откриват тази програма, тъй като нито един истински софтуер за извличане не може да шифрова по този простомислен начин. Но RansomOff го улови.

Също така заредих симулатора за извличане на RanSim от KnowBe4. Този инструмент симулира 10 техники, използвани от действителния софтуер за извличане, заедно с две безобидни дейности за криптиране. В Simple Mode не успях дори да го инсталирам, тъй като RansomOff го изтри. Опитвайки се отново в Advanced Mode с изключен HIPS-Lite, успях да инсталирам успешно.

Докато тестовата програма премина през своите сценарии, аз отговорих на 11 предупреждения за откриване от RansomOff. В края на теста, RanSim съобщи за успешна профилактика на всички 10 симулирани операции за извличане на софтуер, заедно с един от безобидните сценарии. Acronis Ransomware Protection отбеляза точно същото. Блокирането на всички 10 симулирани атаки е голям плюс; едно фалшиво положително е малък минус.

Характеристики за защита от фантазия

Свикнал съм с инструменти за защита от рансъм софтуер, които са толкова ненатрапчиви, че едва имат главен прозорец и понякога нямат никакви настройки за конфигурация. RansomOff в Advanced Mode е доста отклонение, с няколко фантастични функции, които бих могъл да проумея само като се ровя в документацията.

Заключване на приложения

App Lockdown е система за защита на базата на бели списъци, деактивирана по подразбиране, с няколко режима на работа. В строгия режим на всички процеси ще трябва да ОК всеки процес, който стартира, освен ако вече не е изключен. Разхлабвайки до режим на нов процес, RansomOff иска само проверка при първия старт на процеса по време на сесията на Windows. Можете да намалите изскачащите прозорци, като освободите процесите в Windows, цифрово подписаните програмни файлове или и двете.

Включих блокирането на приложения в режим на всички процеси и стартирах Chrome. Трябваше да уредя пет различни процеса, но при последващо стартиране тези процеси бяха освободени. Потребителите на технология могат да конфигурират блокирането на приложения, за да се активират автоматично, когато се зарежда определен процес, и по желание да деактивират, когато този процес се затвори. Предварително зададената настройка на Web Lockdown конфигурира блокирането на приложенията, за да се активира, когато прозорецът на браузъра е активен, подобно на начина, по който работи VoodooSoft VoodooShield.

Архивиране и възстановяване

Функцията „Архивиране и възстановяване“, активирана по подразбиране, има за цел да архивира застрашени файлове и, ако е необходимо, да ги възстанови след операция за извличане на софтуер. Според документацията „RansomOff ще направи копие на файл въз основа на определени действия и ще го запише далеч в защитено пространство.“ Той предлага множество методи за възстановяване, като между тях се избира процес за възстановяване на направените промени и търсене на файлове, които се нуждаят от възстановяване, както и опция за възстановяване на файловете RansomOff може да е изтрил по погрешка. При моето тестване никога не съм виждал тази функция в действие; това не помогна с онази досадна извадка за откуп, която шифрова документите ми.

Функцията за възстановяване в Check Point ZoneAlarm Anti-Ransomware се оказа едновременно по-проста и ефективна. Във всеки случай тя предлагаше да възстанови всички криптирани файлове и го направи успешно. Единствената му грешка в тестването включваше отказ за грешка веднъж, когато всъщност успя.

Acronis Ransomware Protection използва различен подход към архивирането. Той създава криптиран облачен архив на файловете във вашите защитени папки, струващ до 5 GB, и възстановява всички файлове, повредени от откъм софтуер, след като елиминира заплахата.

Защита на папки

Щракването върху папки създава защита на RansomOff, базирана на разрешения за посочените от вас папки. Подобно на Bitdefender Antivirus Plus, Trend Micro и няколко други, той може да попречи на неоторизирани програми да променят файлове, но предлага няколко други опции. Можете да го накажете да откаже целия достъп до файлове в защитената папка, да скрие съществуването на тези файлове или да блокира стартирането на изпълними файлове от защитеното място. Това последно е полезно срещу заплахи като TeslaCrypt, който пуска произволен имена изпълним файл в папката Документи и го стартира.

Объркващо объркано управлявате защитата, като добавяте папки в един от пет различни списъка: Отказ, Заблуждаване, Скриване, Само за четене и Без Изпълнение. Една папка може да заеме само един от тези списъци наведнъж. За начало добавих папката „Документи“ в списъка „Отказ“. Това трябва да откаже достъп до четене и запис за защитени файлове, подобно на подобната функция в Panda Internet Security. Това обаче не направи нищо, за да попречи на един миниатюрен редактор, който сам написах да чете и променя файлове.

Оказва се, че не съм обръщал достатъчно внимание. Екранът ясно показваше „Защитата не е активирана“ под избраната от мен папка. Трябва също да добавите поне едно освободено приложение, преди RansomOff да започне защитата си. Добавих Windows Explorer в списъка с изключения, за да активирам защита. След това папката "Документи" дори не се появи в диалоговия прозорец на отворения файл на моя малък редактор.

Избрах защита срещу промяна и преместих защитената си папка в списъка само за четене. Този път малкият ми редактор успешно зареди текстов файл от защитената папка, но опит за запазване на модифицирана версия получи съобщение с надпис „Грешка при запис на потока“. Това е разочароващо. Trend Micro RansomBuster и няколко други подобни програми съобщават за опита за достъп и ви дават шанс да добавите бели приложения. Когато току-що сте инсталирали нов документ или редактор на снимки, можете лесно да го направите в този списък.

В процеса на изпробването на малкия ми редактор открих много файлове в папката „Документи“, които просто не се появиха в Windows Explorer. Всъщност, подобно на RansomFree и CyberSight RansomStopper, RansomOff използва "примамка" файлове, за да помогне при откриването му. Обикновено ги скрива от поглед, като RansomStopper, но те се появяват в някои ситуации.

Нуждае се от настройка

Повечето специфични за защитата помощни програми са супер опростени, вършат работата си тихо, без малка нужда от взаимодействие или конфигурация на потребителите. Инсталирането на такъв инструмент заедно със съществуващата ви антивирусна защита ви дава прост вторичен защитен слой. RansomOff е значително по-сложен от всеки от конкурентите му, с разширени настройки и функции, които са смущаващи без внимателно четене на документите. При тестване той откри всички проби от рансъмуер, но нека един от тях криптира файлове въпреки откриването.

Технистите може да му харесат, но в момента това е твърде сложно за обикновения потребител. От друга страна, разработчиците са бързи да отстранят всички проблеми, дори актуализират програмата, за да отстранят няколко проблема по време на моя преглед. Очаквам с нетърпение версия, която не изисква толкова много от обикновения потребител.

С по-опростен интерфейс и отлично възстановяване, Check Point ZoneAlarm Anti-Ransomware е избор на редакторите за защита от компютър. Ако плащането за още един инструмент за сигурност не е това, което сте имали предвид, CyberSight RansomStopper е безплатен и също е избор на редактори в тази област.