Тенденция за микроизобразител и рейтинг

Неотдавнашната епидемия от BadRabbit за извличане на софтуер най-вече засегна хората в и близо до Русия, не толкова в САЩ, но не позволявайте това да ви направи самодоволни. Кой знае къде ще удари следващата атака? Имате нужда от защита срещу ransomware и антивирусът ви може да не е достатъчен. Trend Micro RansomBuster предлага множество защитни слоеве и е безплатен както за лична, така и за бизнес употреба. Тестът ни обаче показва, че всички слоеве не са еднакво ефективни.

RansomBuster се предлага като безплатно изтегляне, а също така е компонент в антивирусните и защитни пакети на Trend Micro. По същия начин, самостоятелният Cybereason RansomFree също е компонент на пакета за сигурност на Cybereason в пълен мащаб.

Подобно на RansomFree и Malwarebytes Anti-Ransomware Beta - която също е безплатна - RansomBuster е предназначен да се използва заедно със стандартния ви антивирус. И двата продукта се съсредоточават върху откриването на софтуер за откупуване въз основа на поведението му; RansomFree извежда файлове за примамка на стратегически места, за да помогне при откриването му, както ще обясня. RansomBuster също включва откриване на базата на поведение, но това е само едно от неговите умения.

Ако RansomBuster открие дори слаба възможност за извличане на софтуер, той прави сигурно архивиране на засегнатите файлове. В момента, в който възможността става сигурност, той прекратява софтуера за извличане и използва архивирането, за да възстанови всички засегнати файлове по време на неговия анализ. Check Point ZoneAlarm Anti-Ransomware възстановява засегнатите файлове по подобен начин.

Един много прост начин да се запази откъм софтуер за криптиране на файлове в папката „Документи“ (или други чувствителни папки) е просто забрана на всички модификации от неоторизирани програми. Използвате надеждния си текстов процесор или редактор на изображения както винаги, но компонентът Folder Shield предотвратява достъп от всяка неизвестна програма. Bitdefender Antivirus Plus включва подобна функция, докато Panda Internet Security дори забранява неизвестни да четат вашите файлове.

Първи стъпки с RansomBuster

Инсталирането е бързо и просто. След инсталирането програмата ви подканва да изберете кои папки искате да защитите. Папката „Документи“ е предварително избрана по подразбиране, но не се прекалявайте, добавяйки още папки. Бързо ще научите, че това безплатно издание може да защити само две папки. В началото това изглеждаше като голямо ограничение. По-късно разбрах, че простото избиране на папката C: \ Потребители трябва да защитава повечето от важните ви документи.

Избирането на тези папки е единствената опция за конфигуриране; това е много проста, фокусирана програма. След като направите този избор, RansomBuster просто работи на заден план, без да изисква повече взаимодействие, освен ако не срещне атака.

Тестване на папка щит

За бърза проверка на здравословното състояние пуснах миниатюрен текстов редактор, който сам написах. Тази програма не съществува никъде, но на моя тестов компютър, така че определено се квалифицира като неизвестна програма. Опитах се да променя някои текстови файлове в папката „Документи“. RansomBuster доста правилно съобщи за неоторизиран достъп, като ми даде възможност да блокирам този достъп или да добавя програмата в списъка с доверие. След кратко време той автоматично избира опцията за блок. Същото нещо се случи, когато опитах проста, ръчно кодирана програма, която симулира криптиране на поведението на ransomware.

След това извадих големите пистолети - шест образци на реномеран софтуер. Първоначално нещата изглеждаха добре. Folder Shield блокира пет от пробите, докато откриването на базата на поведение улавя шестата, преди дори да предизвика реакция от Folder Shield. Наблюдавах, че ако случайно решите да се доверите на програма, която се оказва откупна програма, системата за откриване на базата на поведение също я игнорира. Прочетете внимателно тези известия и се доверете само на програми, в които сте сигурни.

По-внимателен поглед разкри, че нещата не са изцяло прегърнати. Една от пробите за извличане на софтуер зашифрова файл в папка на работния плот, преди да бъде хванат от Folder Shield, тъй като Desktop не беше защитен. Друг шифрова дузина файлове в и под папката на работния плот и пусна бележки за откуп в няколко от тях. Наблюдавах, че засегнатите файлове са видове, които повечето биха считали за по-малко важни. Те включваха преки пътища, помощни файлове, лог файлове и няколко CSV файла. Моят контакт в Trend Micro потвърди, че тези типове не са сред почти 40 типа файлове, които системата за откриване на базата на поведение проследява.

Тестване на основано на поведение откриване

Folder Shield може да защити само съдържанието на две папки, но системата за откриване на базата на поведение има за цел да маркира поведение, подобно на ransomware, независимо къде се случва. За тест, специфичен за поведение, базирано на поведение, деактивирах Folder Shield и повторих тестовете си в реалния софтуер за изкупване. Резултатите не бяха много.

RansomBuster направи три от шестте проби. Той нарече един от тях подозрителен и го прекрати, преди да може да предприеме някакви злобни действия. Той идентифицира другите двама като софтуер за извличане, изброява файловете, които са били криптирани, и отчита успешното възстановяване.

Останалите три проби обаче се разразиха, криптирайки файлове отдясно и наляво и показвайки бележките си за откуп, всички без надникване от RansomBuster. Тестван със същите тези проби, ZoneAlarm откри всичките шест и възстанови всички файлове. Единствената грешка на ZoneAlarm? В един случай той съобщи, че не е успял да възстанови всички файлове, а в действителност не се е провалил.

Защитата от компютърна защита, вградена в Acronis True Image, откри всички, освен една от пробите, възстановявайки всички засегнати файлове от сигурната си онлайн резервна копия. RansomFree също откри всички освен един. Malwarebytes ги откри всички, но в един случай ransomware шифрова няколко файла, преди да бъдат неутрализирани.

Смесени резултати

Оценявам факта, че Trend Micro предлага RansomBuster безплатно. Просто ми се иска да работи по-добре. Folder Shield е ефективен, но при тестването на поведението, основано на поведение, не се получи добре. Ако сте голям фен на Trend Micro, може да го помислите. Но ако сте голям фен на Trend Micro, вероятно вече имате тази защита във вашия антивирусен или защитен пакет.

Изборът на нашите редактори за защита от компютърна защита е ZoneAlarm Anti-Ransomware. Тя не е безплатна, но при $ 2, 99 на месец тя няма да счупи банката и успешно се защити срещу всички наши реални извадкови софтуерни проби. Безплатният Malwarebytes Anti-Ransomware Beta също откри всички проби, въпреки че загуби няколко файла за криптиране и Cybereason RansomFree успешно откри и блокира всички освен една. Ако искате да подобрите защитата си от извличане отвъд това, което е вградено във вашия антивирус, една от тези помощни програми е по-добрият избор.