Kontrola a hodnotenie anti-ransomware zonealarm

Zmyslom ransomware na šifrovanie súborov nie je vypnutie počítača. Nakoniec budete potrebovať ten počítač, aby zaplatil výkupné. Najzraniteľnejšie súbory sú vaše dokumenty, obrázky a ďalšie osobné súbory, takže niektoré produkty zmarujú ransomware zakázaním neoprávnených zmien v týchto súboroch. Bitdefender Antivirus Plus, Trend Micro RansomBuster a Panda Internet Security patria medzi produkty, ktoré používajú tento typ ochrany. Keď sa proces pokúsi o neoprávnený prístup, dostanete upozornenie. Ak váš nový nástroj na úpravu obrázkov spustil upozornenie, jednoducho ho pridajte do dôveryhodného zoznamu. Ak sa však varovanie nezhoduje s ničím, čo robíte, zablokujte ho!

Panda Dome Advanced ide o krok ďalej a blokuje aj neautorizované programy, ktoré umožňujú prístup len na čítanie. Okrem udržiavania ransomwaru môže táto úroveň ochrany slúžiť aj na ochranu trójskych koní, ktoré kradnú údaje.

Predtým, ako bezpečnostné riešenie dokáže analyzovať správanie programu z hľadiska výpovedných znakov ransomware, musí vidieť určité správanie. Počas tohto obdobia analýzy môže útočník dobre zašifrovať niekoľko súborov alebo dokonca veľa súborov. Acronis Ransomware Protection obsahuje detekciu založenú na správaní spolu s funkciou centrálneho zálohovania, ale dokáže tiež automaticky obnoviť všetky šifrované súbory zo zabezpečenej online zálohy. Cieľom ZoneAlarm je tiež obnoviť všetky súbory zasiahnuté ransomware.

Začíname s programom ZoneAlarm Anti-Ransomware

Tento produkt môžete používať zadarmo 30 dní a nemusíte poskytovať ani informácie o kreditnej karte. Môžete zrušiť bez poplatkov až do 30-dňovej lehoty, ale potom budete platiť 1, 99 dolárov mesačne.

Inštalácia je rýchla a jednoduchá. V priebehu niekoľkých minút uvidíte veľké, super jednoduché okno. Hovorí sa iba o tom, že chráni vaše súbory pred ransomware. Neexistujú žiadne nastavenia, žiadne denníky, iba jednoduchá a upokojujúca obrazovka. Program môžete minimalizovať na svoju ikonu v oblasti oznámení a nikdy o tom nepremýšľať… až do útoku ransomware. V priečinku Dokumenty a inde si môžete všimnúť nejaké nové súbory; ako Cybereason RansomFree a RansomStopper, ZoneAlarm vytvára súbory „návnady“, ktoré pomáhajú zachytiť správanie ransomware.

Boj proti skutočnému svetu Ransomware

Ako otestujete nástroj na ochranu ransomware založený na správaní? Skutočne, jediný spôsob, ako to dosiahnuť, je použitie živého ransomwaru v reálnom svete. Nástroje simulácie môžu byť užitočné, ale akýkoľvek simulátor, ktorý úplne a skutočne emuluje správanie ransomware, by sám o sebe bol ransomware. Na kontrolu ochrany ransomware pomocou ZoneAlarm a podobných produktov používam vzorky ransomware nachádzajúce sa vo voľnej prírode. Toto testovanie samozrejme vykonávam v izolovanom virtuálnom stroji, ktorý sa po každom teste vymaže.

Pridávam do svojej zbierky ransomware, keď nájdem nové vzorky, ale tie staré nevyhodím. Nástroje ochrany Ransomware nie sú ako obyčajné antivírusové programy. Nehľadajú známych útočníkov, ale skôr útočné správanie. Pri použití starších vzoriek teda nie je nijako škodlivé. Test ZoneAlarm som už testoval s väčšinou mojich súčasných vzoriek, ale test som zopakoval bez ohľadu na to. Som rád, že som to urobil, pretože tým odhalil problém (rýchlo vyriešený) s jednou verziou softvéru.

Krátko po spustení prvej vzorky sa objavilo hlavné okno ZoneAlarm s veľkým varovaním, že zistil útok ransomware. Tento objav tiež oznámil prechodný vyskakovací okienko hriankovača. Moje kontakty v službe Check Point poukázali na to, že toto kontextové okno nie je nadbytočné. Ak ste zapojení do modernej aplikácie používateľského rozhrania, zobrazí sa kontextové okno, ale nie hlavné okno.

Po krátkej chvíli aplikácia oznámila, že karanténu previedla. Varoval, že útok zmenil niektoré súbory a ponúkol opravu postihnutých súborov. Nie som si istá, prečo je to voliteľné - kto by povedal, že nie? Na testovanie som vždy vybral možnosť opravy.

Na stránke, ktorá obsahuje zoznam postihnutých súborov, sa nachádza odkaz s názvom Not Ransomware. V zriedkavých prípadoch, keď program ZoneAlarm omylom identifikuje platný program ako ransomware, kliknutím na tento odkaz získate šancu na záchranu programu. Nevidel som žiadne falošné poplachy, takže som sa v každom prípade rozhodol súbory opraviť a následne skontrolovať stav týchto súborov. ZoneAlarm obnovil šifrované súbory a vymazal výkupné a ďalšie pomocné súbory, ktoré vyradil ransomware.

V jednom prípade ransomware zabil program Windows Prieskumník a nezostal nič viditeľné, iba jeho náhodná nota. Keď ZoneAlarm skončil, všetko, čo som mal, bola prázdna obrazovka. Musel som vyvolať Správcu úloh a znova spustiť Prieskumník systému Windows. Opakovaním testu som zistil, že nútiť tvrdý reset tiež urobil trik.

Útok Petya ransomware sa líši od všetkých ostatných vzoriek. Namiesto šifrovania súborov dôjde k zlyhaniu systému a predstiera, že pri reštarte beží CHKDSK. V zákulisí šifruje celý váš pevný disk. Nestratíte iba súbory s Petya; stratíte všetok prístup k počítaču.

Keď som spustil vzorku Petya, ZoneAlarm ju okamžite zachytil, rovnako ako RansomStopper a Acronis. Netestoval som každý produkt na ochranu ransomware proti Petya, ale CryptoDrop Anti-Ransomware, Malwarebytes a RansomFree sa proti útoku Petya nebránili.

Nakoniec sa ZoneAlarm ukázala ako úplne úspešná v porovnaní so všetkými mojimi vzorkami ransomwaru v reálnom svete. RansomFree zistil moje vzorky, ale nevyčistil veci ako výkupné. Malwarebytes nechal ransomware šifrovať niekoľko súborov predtým, ako sa im podarilo zastaviť proces. Acronis úplne zmeškal jednu z mojich vzoriek, ale inak sa mu darilo. CryptoPrevent Premium premeškal väčšinu mojich vzoriek, napriek tomu, že pracovná plocha ohromila množstvom súborov návnad. Iba RansomStopper urobil lepšie, blokovanie všetkých vzoriek bez potreby fázy vyčistenia potom.

Simulovaný ransomware nie je úplne bez hodnoty. Ransomware riešenie môže preukázať úspech blokovaním simulácií. Len neberiem zlyhanie blokovať simulované útoky ako skutočné zlyhanie. Predtým, keď som sa pokúsil otestovať ZoneAlarm pomocou simulátora ransomware RanSim od spoločnosti KnowBe4, odstránil pomocné procesy programu, čo znemožnilo hodnotenie. Tentoraz sa to ukázalo ako menej náročné, úspešne blokovalo všetkých 10 simulačných scenárov a program nechal nažive, aby ohlásil tento úspech.

Strašidelné falošné spustenie

V priebehu môjho testovania sa táto recenzia čítala veľmi odlišne. Bola plná pripomienok opakovane padajúcich aplikácií ZoneAlarm a zlyhania pri odstraňovaní problémov s ransomware. Počas tohto kola testovania dosiahla ZoneAlarm celkový úspech na menej ako polovici mojich vzoriek.

Po nahratí do denníkov s kontaktmi v spoločnosti som sa dozvedel, čo sa stalo. Spoločnosť Check Point vydala zlú verziu produktu, z ktorej jeden spadol, ale rýchlo ho nahradil oficiálnym odkazom na stiahnutie, ktorý bol dodaný platiacim zákazníkom. Odkaz na stiahnutie pre skúšobnú verziu bohužiaľ zachoval chybný kód. Stiahol som skúšobnú verziu a potom som ju inovoval pomocou registračného kľúča, ktorý ma nechal vo verzii náchylnej na zlyhanie.

Problém sme vyriešili a program ZoneAlarm sa opäť ukázal ako úplne efektívny. Ale zaujímalo by ma, koľko ľudí chytilo zlý kód pred pokusom o opravu? A prečo sa skúšobná verzia automaticky neaktualizovala na najnovší, najväčší kód? Tento strašidelný nesprávny štart poznačil inak vynikajúci výkon.

Najlepšia ochrana Ransomware

Ochrana Ransomware je stále novou oblasťou a neustále sa objavujú nové produkty. Medzi nástrojmi špecifickými pre ransomware, ktoré som videl, je ZoneAlarm Anti-Ransomware jasným víťazom. Úspešne zvládla všetky moje vzorky ransomware v reálnom živote a opravila všetky zmeny vykonané procesmi ransomware vrátane odstránenia výkupných poznámok, ktoré niektoré ďalšie produkty zanechávajú. Ak máte obavy z ransomware (a mali by ste byť), cena za mesiac 1, 99 dolárov za mesiac sa môže zdať v poriadku.

Ak nie ste pripravení minúť cenu šálky kávy každý mesiac, stále môžete získať účinnú ochranu proti ransomware. CyberSight RansomStopper nestojí ani cent, a pri testovaní to urobil rovnako dobre ako ZoneAlarm. Dalo by sa argumentovať, že to urobilo lepšie. V prípade, že program ZoneAlarm opravil všetky dotknuté súbory, RansomStopper nikdy v prvom rade nepovolil šifrovanie. Tieto dva sú našimi voľbami editorov pre špecializovanú ochranu ransomware.