Recenzia a hodnotenie spoločnosti Cybersight ransomstopper

Ochrana Ransomware

Keď RansomStopper zistí útok ransomware, ukončí tento proces a zobrazí upozornenie v oblasti oznámení. Kliknutím na upozornenie zobrazíte, ktorý súbor spôsobil problém. Existuje možnosť odstrániť programy zo zoznamu blokovaných procesov - spolu s varovaním, že to nie je dobrý nápad.

Čakanie na zistenie správania ransomware môže niekedy znamenať, že ransomware pred ukončením šifruje niekoľko súborov. Keď som testoval Malwarebytes, takto sa stratilo niekoľko súborov. Check Point ZoneAlarm Anti-Ransomware aktívne obnovuje všetky šifrované súbory. Pri mojom testovaní to urobil pre každú vzorku ransomware. RansomStopper však zastavil rovnaké vzorky bez toho, aby umožnil šifrovanie akýchkoľvek súborov.

Pre rýchlu kontrolu rozumnosti som spustil jednoduchý falošný ransomware program, ktorý som napísal sám. Stačí hľadať textové súbory v priečinku Dokumenty a pod ním a šifrovať ich. Používa jednoduchú reverzibilnú šifru, takže pri druhom spustení sa súbory obnovia. RansomStopper ju chytil a zabránil jej šikanovaniu. Zatiaľ je všetko dobré.

Pozor, Live Ransomware

Jediným istým spôsobom, ako otestovať ochranu ransomware založenú na správaní, je použitie živého ransomware. Robím to veľmi opatrne, izoláciu môjho testovacieho systému virtuálnych strojov od všetkých zdieľaných priečinkov a od internetu.

Tento test môže byť trýznivý, ak anti-ransomware produkt zlyhá pri detekcii, ale môj test RansomStopper prešiel hladko. Rovnako ako ZoneAlarm a Malwarebytes, aj RansomStopper zachytil všetky vzorky a nenašiel som žiadne šifrované súbory skôr, ako sa objavila behaviorálna detekcia. Cybereason RansomFree to urobil celkom dobre, ale jeden zmeškal.

Testujem tiež pomocou nástroja RanSim od spoločnosti KnowBe4, ktorý simuluje 10 typov útoku ransomware. Úspech v tomto teste je užitočnou informáciou, ale zlyhanie môže jednoducho znamenať, že detekcia založená na správaní správne určila, že simulácie nie sú skutočné ransomware. Rovnako ako RansomFree, aj RansomStopper ignoroval simulácie.

Nebezpečenstvo bootovania je vyriešené

Vedenie pod radarom je pre ransomware veľkým problémom. Ak je to možné, robí svoje špinavé skutky ticho a teší sa na svoje výkupné iba po zašifrovaní súborov. Mať oprávnenia správcu uľahčuje prácu ransomware, ale dosiahnutie tohto bodu si zvyčajne vyžaduje povolenie od používateľa. Existujú zástupné spôsoby, ako tieto oprávnenia získať ticho. Patria sem zabezpečenie usporiadania zálohy na proces Winlogon v čase spustenia alebo nastavenie naplánovanej úlohy na spustenie systému. Ransomware zvyčajne zariadi spustenie pri štarte a potom vynúti reštart, bez vykonania akýchkoľvek šifrovacích úloh.

Pri mojom skoršom testovaní som zistil, že ransomware môže šifrovať súbory v čase zavedenia systému skôr, ako sa spustí RansomStopper. Tento výkon sa riadil vlastným falošným šifrovacím programom. Šifrovala všetky textové súbory v priečinku Dokumenty a pod ním, vrátane textových súborov s návnadou RansomStopper. (Áno, tieto súbory sú v priečinku, ktorý RansomStopper aktívne skrýva, ale mám svoje metódy…) Takisto mi unikla vzorka ransomwaru v reálnom svete, ktorú som nastavil na spustenie pri štarte.

Dizajnéri spoločnosti CyberSight otestovali množstvo riešení tohto problému a vydali novú verziu, ktorá predbieha zavádzací ransomware. Testoval som to; Funguje to tak, že sa odstráni jednorázový test z výsledkov testov RansomStopper, ktoré sú teraz šterlingové.

RansomFree beží ako služba, takže je aktívny pred akýmkoľvek bežným procesom. Keď som vykonal rovnaký test, keď som pri štarte nastavil vzorku ransomwaru v reálnom svete, zachytil ju aj RansomFree. Tento test tiež prešli malwarebytes. RansomBuster zistil útok po štarte a obnovil dotknuté súbory.

Na ďalšie preskúmanie tohto problému som na začiatku tohto roka dostal vzorku produktu Petya ransomware, ktorý spôsobil problémy. Tento konkrétny kmeň havaruje systém a potom simuluje opravu bootovacieho času pomocou CHKDSK. V skutočnosti robí šifrovanie pevného disku. Malwarebytes, RansomFree a RansomBuster nedokázali zabrániť tomuto útoku. RansomStopper ho zachytil skôr, ako by mohol spôsobiť zlyhanie systému - pôsobivé! ZoneAlarm tiež zabránil Petyinmu útoku. Aby sme boli spravodliví k ostatným, tento nie je typický ransomware pre šifrovanie súborov. Skôr zamkne celý systém šifrovaním pevného disku.

Pri skúmaní mojich kontaktov som sa dozvedel, že útoky s ransomware po spustení vrátane Petya sa stávajú menej bežné. Napriek tomu som tento test pridal do svojho repertoáru.

Ďalšie techniky

Detekcia založená na správaní je pri správnej implementácii vynikajúcim spôsobom boja proti ransomware. Nie je to však jediný spôsob. Trend Micro RansomBuster a Bitdefender Antivirus Plus patria medzi tie, ktoré fólie ransomware riadia prístupom k súborom. Zabránia nedôveryhodným programom v akejkoľvek zmene súborov v chránených priečinkoch. Ak sa nedôveryhodný program pokúsi upraviť vaše súbory, dostanete upozornenie. Zvyčajne získate možnosť pridať neznámy program do dôveryhodného zoznamu. To môže byť užitočné, ak blokovaným programom bol váš nový textový editor alebo editor fotografií. Panda Internet Security ide ešte ďalej a bráni nedôveryhodným programom v tom, aby dokonca čítali údaje z chránených súborov.

Ransomware podvodníci musia dbať na to, aby boli schopní dešifrovať súbory, keď obeť zaplatí. Šifrovanie súborov viackrát by mohlo narušiť obnovu, takže väčšina obsahuje značku nejakého druhu, aby sa zabránilo druhému útoku. Bitdefender Anti-Ransomware využíva túto techniku, aby oklamal konkrétne rodiny ransomware, aby si mysleli, že už na vás zaútočili. Uvedomte si však, že táto technika nemôže robiť nič s úplne novými typmi ransomware.

Keď produkt Webroot SecureAnywhere AntiVirus narazí na neznámy proces, začne zaznamenávať všetku aktivitu tohto procesu a odosielať údaje do cloudu na analýzu. Ak sa tento proces ukáže ako škodlivý softvér, Webroot vráti všetko, čo urobil, dokonca aj spätnú aktivitu ransomware. ZoneAlarm a RansomBuster majú svoje vlastné metódy na obnovu súborov. Keď súčasť Acronis True Image anti-ransomware zabije útok ransomware, v prípade potreby môže šifrované súbory obnoviť z vlastnej bezpečnej zálohy.

Teraz víťaz

CyberSight RansomStopper detekoval a zablokoval všetky moje vzorky ransomwaru v reálnom svete bez straty akýchkoľvek súborov. Zistil tiež môj jednoduchý ručne kódovaný simulátor ransomware. A to blokovalo útok Petya, kde zlyhalo niekoľko konkurenčných produktov.

Skôr, RansomStopper prejavil zraniteľnosť voči ransomware, ktorá beží iba v čase zavedenia systému, ale moje zdroje hovoria, že tento typ útoku sa stáva menej bežným a CyberSight odvtedy tento problém vyriešil. Ostatné bezplatné produkty mali svoje vlastné problémy. RansomFree premeškal jednu vzorku v reálnom svete a Malwarebytes nechal ďalšiu vzorku ireverzibilne zašifrovať niekoľko súborov pred tým, ako sa objavila detekcia. RansomBuster sa darí horšie, úplne chýba polovica vzoriek (hoci väčšina komponentov chránila zložku Shield Folder).

RansomStopper a Check Point ZoneAlarm Anti-Ransomware sú našimi najlepšími tipmi na vyhradenú ochranu ransomware. ZoneAlarm nie je zadarmo, ale za 2, 99 dolárov mesačne to tiež nie je príliš drahé. Napriek tomu RansomStopper riadi úplnú ochranu bez akýchkoľvek nákladov.