Cybereason ransomfree review & rating

Ak váš antivírus nedokáže zachytiť trójskeho koňa na krádež údajov, môžete získať novú kreditnú kartu. Ak aktuálny vírus prekročí svoju obranu, mal by sa o problém postarať agresívny nástroj na vyčistenie. Ak však váš antivírus zmešká útok ransomware, môžete stratiť všetky svoje dokumenty alebo dokonca stratiť prístup k svojmu počítaču. To je miesto, kde prichádza softvér Cybereason's RansomFree. Tento bezplatný špecializovaný nástroj na ochranu ransomware funguje spolu s vaším existujúcim antivírusovým softvérom. Zameriava sa na 100 percent na detekciu a prevenciu zamorenia ransomware sledovaním správania spoločného pre tieto útoky. Pri testovaní, so škaredými vzorkami škodlivého softvéru v reálnom svete, sa to dokončí.

Členovia tímu Cybereason sa vzdelávali v elitnej jednotke 8200 izraelského spravodajského zboru, tímu venovaného kybernetickej bezpečnosti. Zrezali si zuby na kybernetických útokoch na vojenskej úrovni a teraz dodávajú špičkovú obranu hlavným spoločnostiam vrátane SoftBank, Vizio a Lockheed Martin. Keď epidémia ransomware začala ohrozovať viac spotrebiteľov, generálny riaditeľ spoločnosti sa rozhodol extrahovať komponent ransomware z úplnej bezpečnostnej sady Cybereason a poskytnúť túto ochranu ransomware spotrebiteľom zadarmo. Malé podniky ho môžu tiež používať; väčšie podniky by mali zvážiť komplexnú službu v oblasti kybernetiky.

Ihneď po inštalácii začne RansomFree chrániť váš systém pred ransomware. Beží na pozadí a sleduje správanie špecifické pre ransomware. V rámci tohto procesu vytvára súbory „návnady“ na hlavných miestach, ako je napríklad pracovná plocha a priečinok Dokumenty. Neexistujú žiadne antivírusové podpisy; RansomFree sa spolieha na detekciu založenú na správaní.

Útok na Ransomware

RansomFree bol medzi prvé bezpečnostné nástroje špecifické pre ransomware, ktoré som minulý rok prehodnotil. V tom čase som mal iba pár vzoriek z reálneho sveta a ich ručne modifikované varianty. Teraz mám pol tuctu vzoriek pokrývajúcich rôzne rodiny ransomware. RansomFree ich všetky zistil a zablokoval.

Keď zistí proces, ktorý funguje ako ransomware, RansomFree tento proces preruší a zobrazí veľké varovanie. Kliknutím na tlačidlo Áno proces ukončíte a odstránite všetky problémy. Môžete tiež kliknúť na Nie, ale neodporúčam to. K dispozícii je odkaz na zobrazenie všetkých súborov vytvorených, upravených alebo odstránených v dôsledku protiprávneho konania. Pri kontrole týchto informácií som napríklad videl, že jeden útočník vytvoril spustiteľný súbor s náhodným menom priamo v priečinku Dokumenty a previedol kontrolu nad týmto programom. Iný vymazal svoju prítomnosť na disku po načítaní do pamäte.

V niektorých prípadoch sa RansomFree objavil dvakrát alebo trikrát; Vždy som klikal na Áno. Po dokončení varoval, že ransomware mohol zanechať výkupné alebo iný detektív, ktorý musíte vyčistiť ručne. Naozaj som našiel výkupné v niekoľkých prípadoch.

Stretol som sa s niekoľkými produktmi, ktoré nedokázali zabrániť útoku ransomware spustenému pri štarte Windows. Príkladom je IObit Advanced SystemCare Ultimate, rovnako ako bezplatný CyberSight RansomStopper. Keď som nakonfiguroval vzorku ransomware na spustenie pri štarte, nemal RansomFree žiadne problémy s jej detekciou a ukončením.

Mám po ruke malý, jednoduchý simulátor ransomware, program, ktorý som napísal sám. Stačí nájsť textové súbory v priečinku Dokumenty a na ne použije šifrovanie XOR. Táto technika jednoducho preklopí všetky bity na nulu a všetky nulové bity na jeden; jeho druhé použitie dešifruje súbor. Ukázalo sa, že to je príliš jednoduché na to, aby si to RansomFree všimol, a v skutočnosti to nie je skutočne deštruktívne. Pomerne málo konkurenčných utilít ignorovalo môj FakeCryptor, medzi nimi aj Acronis a CryptoDrop Anti-Ransomware.

Diskové šifrovanie Ransomware

Najbežnejší typ ransomware šifruje vaše základné súbory, ale počítač ostáva funkčný. To dáva zmysel, pretože obeť potrebuje prístup na internet a počítač, aby mohla zaplatiť výkupné. Existuje však aj iný, menej bežný typ, ktorý vykonáva šifrovanie celého disku, čím zariadenie efektívne zdedí, až kým nezaplatíte. Notoricky známy Petya ransomware je taký taký a podarilo sa mi zachytiť vzorku Petya.

Pomôcky na ochranu ransomware založené na správaní nemusia nevyhnutne chrániť pred týmto typom útoku. Z ďalších štyroch produktov, ktoré som testoval od získania vzorky Petya, Acronis a RansomStopper zabránili útoku Petya, ale Malwarebytes Anti-Ransomware Beta a CryptoDrop nie.

Blogový príspevok v Cybereason ma priviedol k názoru, že RansomFree môže Petyu zastaviť. Keď som však spustil svoju vzorku, došlo k zlyhaniu systému a spusteniu predstieranej opravy disku nízkej úrovne pri reštarte. V skutočnosti to bolo šifrovanie disku, nie jeho oprava. Stojí za zmienku, že ransomware na šifrovanie diskov je oveľa menej bežný ako typ šifrovania súborov a že by ho antivírusový program pravdepodobne zachytil skôr, ako by spôsobil akékoľvek poškodenie.

Simulated Ransomware Conundrum

KnowBe4 je spoločnosť známa viac pre svoje antifishingové tréningy ako pre produkty, ale ponúka bezplatný simulátor RanSim Ransomware. RanSim simuluje desať najbežnejších techník ransomware, ako aj dve neškodné súvisiace techniky, ktoré by ochrana ransomware nemala blokovať.

Nainštaloval som RanSim do testovacieho systému a spustil jeho testovacie sekvencie s neuspokojivými výsledkami. RansomFree správne nezasahoval do dvoch falošne pozitívnych scenárov, ale neurobil nič, čo by blokovalo 10 scenárov ransomware.

Po nejakom kopaní, poškriabaniu hlavy a spojení s Cybereason a KnowBe4 som pochopil problém. Spoločnosť RanSim umiestňuje svoje testovacie súbory do priečinkov v priečinkoch, štyri úrovne pod priečinok Dokumenty. Šifrovanie takýchto súborov bez toho, aby ste sa dotkli skutočného obsahu zložky Dokumenty, jednoducho nie je správaním, ktoré zodpovedá žiadnemu ransomwaru v skutočnom svete. Takže RansomFree to ignoruje. Acronis zablokoval všetkých 10 scenárov a Malwarebytes dostal osem. Iní vymazali celú testovaciu platformu, čo znamená, že nemohla nahlásiť žiadne výsledky.

Iné cesty

Ransomware je vážny problém, takže neprekvapuje, že iné spoločnosti vymysleli vlastné metódy na boj proti nemu. Všetka detekcia škodlivého softvéru vo Webroot SecureAnywhere AntiVirus je založená na správaní, nie iba na detekcii ransomware. Antivírus okamžite vymaže všetky procesy, ktoré zodpovedajú existujúcim profilom správania škodlivého softvéru. Ak nie je úplne jasné, že podozrivý proces je škodlivý, Webroot si ukladá miestne akcie a virtualizuje všetky nevratné akcie, ako je napríklad zasielanie informácií cez internet. Keď jeho cloudová analýza neskôr identifikuje podozrivý proces ako malware, miestny klient použije údaje denníka na zvrátenie všetkých akcií tohto procesu vrátane zrušenia šifrovacích akcií vykonaných ransomware.

Aby ste získali ochranu pred ransomvérom od spoločnosti Panda, musíte si zakúpiť kompletnú súpravu Panda Internet Security; samostatný antivírus neobsahuje súčasť Data Shield. Cieľom produktu Data Shield je chrániť vaše cenné dokumenty pred neoprávneným prístupom, takže ransomware nemôže šifrovať vaše súbory a trójske kone nemôžu ukradnúť vaše údaje. Ak Panda zistí pokus o prístup ktorýmkoľvek neautorizovaným programom, spýta sa, či ho povoliť. Prirodzene udelíte povolenie tomuto novému textovému procesoru, ktorý ste práve nainštalovali, ale ak žiadosť vyšla z modrej, odmietnite to!

Trend Micro Antivirus + Security a Avast Internet Security patria medzi ďalšie produkty, ktoré fóliu ransomware bránia neoprávnenej úprave súboru. Nezabránia však prístupu, ktorý Panda používa iba na čítanie.

V oblasti nástrojov špeciálne navrhnutých na boj proti malvéru takmer všetky používajú detekciu založenú na správaní. Výnimkou je bitdefender Anti-Ransomware; Funguje tak, že podvracia vlastné techniky ransomware, aby sa zabránilo dvojitému šifrovaniu, „očkuje“ systém, aby si ransomware myslel, že už vykonal svoju prácu.

Check Point ZoneAlarm Anti-Ransomware dopĺňa detekciu založenú na správaní systému so systémom na obnovenie všetkých súborov, ktoré mohli byť šifrované pred detekciou, ktorá bola spustená.

Vďaka Acronis Ransomware Protection získate 5 GB úložného priestoru v cloude pre citlivé súbory. Ak ransomware pred detekciou šifruje súbor dva alebo dva, Acronis jednoducho obnoví svoju chránenú zálohu. Ak sa 5 GB ukáže ako nedostatočné, môžete vždy upgradovať na záložnú službu Acronis True Image spoločnosti, ktorá samozrejme obsahuje súčasť anti-ransomware.

Trend Micro RansomBuster zhasne a bojuje s ransomware na viacerých frontoch. Jeho Folder Shield blokuje modifikáciu citlivých súborov, používa detekciu založenú na správaní a podľa potreby obnovuje súbory zo zabezpečeného úložiska. Keď som však na testovanie vypol štítok Folder Shield, pri detekcii založenej na správaní zmizlo niekoľko vzoriek.

Podväzky a opasky

RansomFree je zadarmo, ako už názov napovedá, a keď sme ho testovali s reálnym svetom, škaredým ransomware, urobilo to služby yeoman. V žiadnom prípade nejde o univerzálne riešenie, ale o užitočný doplnok k vášmu univerzálnemu pomocnému programu na ochranu pred malvérom. Nainštaloval som si ho do svojho hlavného produkčného počítača a navrhujem, aby ste zvážili jeho pridanie alebo iný bezplatný nástroj na ochranu ransomware, ktorý doplní vašu antivírusovú ochranu v plnom rozsahu.

Check Point ZoneAlarm Anti-Ransomware je našou voľbou editorov pre zabezpečenie špecifické pre ransomware. Aj keď to nie je zadarmo, nie je to ani drahé. Chránila pred všetkými našimi vzorkami ransomware a obnovenými súbormi podľa potreby bez toho, aby sa súbory systému naháňali okolo systému.