Heilig obrany ransomoff hodnotenie a hodnotenie

Iste, ransomware je bolesť hlavy pre jednotlivcov - ktorí chcú prísť o všetok váš pokrok vo veľkom americkom románe? Ale predstavte si, o čo horšie je to pre podniky, ktoré môžu stratiť 100 000 dolárov za hodinu (alebo viac), keď ransomware zamkne výrobu. Špičkové podnikové bezpečnostné systémy potrebujú silnú ochranu proti ransomware a občas dodávatelia takýchto systémov túto ochranu sprístupňujú na osobnej úrovni. To je prípad bezplatného produktu Heilig Defense RansomOff, ktorý využíva technológiu vypožičanú od špičkového obranného korelátu Hielig.

Podobne Cybereason RansomFree enkapsuluje ochranu ransomware, ktorá sa nachádza v podnikových produktoch spoločnosti Cybreason. Avšak tam, kde RansomFree, RansomStopper a väčšina ďalších bezplatných nástrojov špecifických pre ransomware redukujú nastavenia a interakciu používateľa s minimom, RansomOff obsahuje viac režimov a modulov, ktoré si niekedy niekedy pomýlia aj mňa.

RansomOff je malé stiahnutie a inštaluje sa rýchlo. V predvolenom nastavení sa spúšťa v jednoduchom režime, ktorý je označený ako „ochrana pred problémami s ochranou pred problémami“. Môžete tiež zvoliť rozšírený režim, aby ste naplno využili potenciál RansomOff. Pri testovaní som využil oba režimy, ako uvidíte nižšie.

Jednoduchý režim

V predvolenom jednoduchom režime sa spoločnosť RansomOff stará o podnikanie úplne na pozadí bez toho, aby oznámila, že ukončila iné hrozby ako krátka animácia ikony oblasti oznámení. Po dvojitom kliknutí na ikonu sa zobrazí malé okno s tlačidlami na zobrazenie upozornení a prepnutie do rozšíreného režimu.

V tomto režime RansomOff ukončí ransomware, ale nepokúsi sa vyčistiť. Čo vždy urobíte, dvojitým kliknutím na ikonu a následným kliknutím na Zobraziť upozornenia. Zoznam upozornení obsahuje čakajúce operácie vyčistenia, ktoré môžete spustiť manuálne.

Pri testovaní zistil a ukončil všetky moje vzorky ransomwaru v reálnom svete. Sledoval som animovanú ikonu, skontroloval výstrahy a v každom prípade som požiadal o vyčistenie. Avšak menej ako polovica vzoriek spustila upozornenie Ransomware Detected. Pokiaľ ide o zvyšok, oznámil to HIPS-Lite Notification, a oznámil mi, že sa urážajúci program pokúsil nakonfigurovať sám seba na spustenie pri štarte.

Ako kontrola zdravého rozumu som spustil niekoľko obslužných programov zo zbierky, ktorú udržiavam, na falošné pozitívne testovanie, pričom som vybral tie, ktorých funkčnosť vyžaduje spustenie pri štarte. V každom prípade spoločnosť RansomOff tieto úplne legitímne programy vylúčila. V iných pomocných programoch špecifických pre ransomware som tento druh správania nepozoroval. Vzhľadom na to, že funkcia HPS-Lite odstraňuje legitímne aj škodlivé programy, ťažko môžem volať detekciu ransomwaru.

Pokročilý mód

Pre ďalšie skúmanie som prepol RansomOff do rozšíreného režimu a opakoval test. V tomto režime je správanie programu veľmi odlišné. Pri detekcii ransomware prevezme obrazovku s upozornením, ktoré nemožno ignorovať, a požiada vás o povolenie vyriešiť problém. Pred rozhodnutím môžete kliknúť na ďalšie podrobnosti. Ak zistí zmenu spúšťacej postupnosti alebo iné podozrivé akcie, objaví sa menej striktné upozornenie HIPS-Lite a požiada sa, či zmenu povolí alebo zablokuje.

Znovu som prešiel vzorkami a vybral som Blok pri akýchkoľvek výstrahách HIPS-Lite. Výsledky sa podobali tomu, čo som videl v jednoduchom režime, s jedinou do očí bijúcou výnimkou. Pravdepodobne z dôvodu oneskorenia pri zobrazení tohto oznámenia, RansomOff povolil jednej vzorke šifrovať súbory v priečinku Dokumenty pred ich vymazaním. Snažil som sa to niekoľkokrát, v prípade, že to bola náhoda; nestalo sa to zakaždým, ale bolo to určite opakovateľné.

Ďalej som zopakoval vzorky, ktoré spustili výstrahy HIPS-Lite, a vyberte možnosť Povoliť tento čas. Bola to katastrofa. Povedanie RansomOff, aby povolil modifikáciu pri spustení, tiež spôsobilo zastavenie monitorovania aktivity ransomware. „Spôsob, akým to vidíme, bol v tomto momente procesom potvrdený, že niečo urobil a užívateľ sa tak či onak rozhodol, “ vysvetlil môj kontakt v spoločnosti Heilig Defence. „Koniec koncov, používateľ by mal byť múdrejší ako softvér alebo prinajmenšom by mal prinútiť premýšľať skôr, ako to povolí.“

Nemôžem súhlasiť. Bezpečnostný softvér, ktorý dáva kritické rozhodnutia do rúk priemerného používateľa, je podľa môjho názoru chybou. Je to ako starý model osobného firewallu, vďaka ktorému je používateľ zodpovedný za všetky rozhodnutia o tom, či by mal mať každý program povolený prístup k sieti. Iné nástroje ochrany ransomware vykonávajú svoju prácu bez toho, aby zahŕňali rozhodnutia používateľov.

Odhodlaný získať jasný prehľad o schopnostiach programu, vypol som funkciu HIPS-Lite a znova som svoje testovanie zopakoval. Tentokrát produkt zistil a blokoval správanie ransomware vo všetkých vzorkách, čo je veľmi uspokojivý výsledok. Jednej problematickej vzorke sa však stále podarilo šifrovať súbory skôr, ako ich RansomOff vyhodil.

Ďalšie testovanie

Občas som narazil na bezpečnostné programy, ktoré zlyhajú, keď sa ransomware spustí pri štarte. Prosím, povedzte, že RansomOff nie je jedným z nich. Keď som manuálne nastavil niekoľko vzoriek, ktoré sa majú spustiť pri štarte Windows, účinne ich to zablokovalo.

Pre veľmi základnú kontrolu rozumnosti som napísal malý program, ktorý šifruje všetky textové súbory v priečinku Dokumenty pomocou reverzibilného šifrovania XOR. Mnoho pomocných programov na ochranu ransomware tento program nezistí, pretože žiadny skutočný ransomware by sa nezašifroval týmto jednoduchým spôsobom. Ale RansomOff to chytil.

Tiež som načítala simulátor RanSim ransomware z KnowBe4. Tento nástroj simuluje 10 techník používaných v skutočnom ransomware a dve neškodné šifrovacie činnosti. V jednoduchom režime som to nemohol ani nainštalovať, pretože RansomOff to vymazal. Opakovaným pokusom v rozšírenom režime s vypnutým HIPS-Lite sa mi podarila úspešná inštalácia.

Kým testovací nástroj prešiel svojimi scenármi, reagoval som na 11 upozornení na detekciu od spoločnosti RansomOff. Na konci testu spoločnosť RanSim informovala o úspešnej prevencii všetkých 10 simulovaných aktivít ransomware spolu s jedným z neškodných scenárov. Ochrana aplikácie Acronis Ransomware bola presne rovnaká. Blokovanie všetkých 10 simulovaných útokov je veľkou výhodou; jeden falošne pozitívny je malý mínus.

Efektívne funkcie ochrany Ransomware

Som zvyknutý používať nástroje na ochranu ransomware, ktoré nie sú také nenápadné, že sotva majú hlavné okno a niekedy nemajú žiadne konfiguračné nastavenia. RansomOff v rozšírenom režime je celkom odchod, s niekoľkými vymyslenými funkciami, ktoré by som mohol pochopiť len nahratím do dokumentácie.

Blokovanie aplikácií

Blokovanie aplikácií je systém ochrany založený na bielej listine, ktorý je v predvolenom nastavení zakázaný a má niekoľko režimov prevádzky. V prísnom režime Všetky procesy budete musieť OK, každý proces, ktorý sa spustí, pokiaľ už nebol vyňatý. RansomOff, ktorý sa uvoľní do režimu Nový proces, požiada o overenie iba pri prvom spustení procesu počas relácie systému Windows. Môžete znížiť počet automaticky otváraných okien vyňatím procesov Windows, digitálne podpísaných programových súborov alebo oboch.

Zapol som blokovanie aplikácií v režime Všetky procesy a spustil prehliadač Chrome. Musel som OK päť rôznych procesov, ale pri nasledujúcom spustení boli tieto procesy vyňaté. Technicky zdatní používatelia môžu nakonfigurovať blokovanie aplikácií tak, aby sa aktivovalo automaticky pri načítaní určeného procesu a prípadne ho deaktivovalo, keď sa tento proces ukončí. Predvolené nastavenie Web Lockdown nakonfiguruje blokovanie aplikácií tak, aby sa aktivovalo, keď je aktívne okno prehliadača, podobne ako spôsob fungovania VoodooSoft VoodooShield.

Zálohovanie a obnovenie

Funkcia Zálohovanie a obnovenie, ktorá je v predvolenom nastavení povolená, má za cieľ zálohovať ohrozené súbory av prípade potreby ich obnoviť po činnosti ransomware. Podľa dokumentácie „RansomOff vytvorí kópiu súboru na základe určitých akcií a uloží ho mimo chráneného priestoru.“ Ponúka viaceré metódy obnovenia, medzi ktoré patrí výber postupu na obnovenie vykonaných zmien a vyhľadávanie súborov, ktoré je potrebné obnoviť, ako aj možnosť obnovenia súborov, ktoré spoločnosť RansomOff mohla omylom odstrániť. Pri mojom testovaní som nikdy nevidel túto funkciu v akcii; nepomohlo to pri tej vzorke otravného ransomwaru, ktorá šifrovala moje dokumenty.

Funkcia obnovenia v Check Point ZoneAlarm Anti-Ransomware sa ukázala jednoduchšia a efektívnejšia. V každom prípade ponúkol obnovenie šifrovaných súborov a urobil to úspešne. Jedinou chybou pri testovaní bolo hlásenie zlyhania raz, keď sa to skutočne podarilo.

Acronis Ransomware Protection má iný prístup k zálohovaniu. Vytvára šifrovanú zálohu súborov cloud vo vašich chránených priečinkoch v hodnote až 5 GB a po odstránení hrozby obnoví všetky súbory poškodené ransomware.

Ochrana priečinkov

Kliknutím na priečinky zobrazíte RansomOff ochranu založenú na povoleniach pre priečinky, ktoré zadáte. Rovnako ako Bitdefender Antivirus Plus, Trend Micro a niekoľko ďalších, môže zabrániť neoprávneným programom v úprave súborov, ale ponúka niekoľko ďalších možností. Môžete mu zakázať prístup k súborom v chránenom priečinku, skryť existenciu týchto súborov alebo blokovať spúšťanie spustiteľných súborov z chráneného umiestnenia. Toto je užitočné v prípade hrozieb, ako je TeslaCrypt, ktorý zahodí náhodne spustiteľný súbor do priečinka Dokumenty a spustí ho.

Mätúce spravujete ochranu pridaním priečinkov do jedného z piatich rôznych zoznamov: Deny, Deceive, Hide, Only Read a No Execution. Priečinok môže súčasne obsadzovať iba jeden z týchto zoznamov. Na začiatok som pridal priečinok Dokumenty do zoznamu Odmietnuť. To by malo zakázať prístup k chráneným súborom tak na čítanie, ako aj na zápis, podobne ako v prípade služby Panda Internet Security. Neurobil však nič, aby zabránil malému editorovi, ktorý som napísal, čítať a upravovať súbory.

Ukazuje sa, že som nevenoval dostatočnú pozornosť. Na obrazovke sa jasne zobrazil text „Ochrana nie je povolená“ pod vybratým priečinkom. Predtým, ako spoločnosť RansomOff začne s ochranou, musíte pridať aspoň jednu oslobodenú aplikáciu. Do zoznamu výnimiek som pridal Prieskumník Windows, aby som povolil ochranu. Potom sa priečinok Dokumenty v dialógovom okne otvoreného súboru môjho malého editora nezobrazil.

Vybral som Change Protection a presunul môj chránený priečinok do zoznamu Read Only. Tentokrát môj malý editor úspešne načítal textový súbor z chráneného priečinka, ale pokus o uloženie upravenej verzie dostal správu s textom „Chyba zápisu Stream“. To je sklamanie. Trend Micro RansomBuster a niekoľko ďalších podobných programov nahlási pokus o prístup a dá vám šancu na bielu listinu aplikácie. Ak ste práve nainštalovali nový dokument alebo editor fotografií, môžete ho v tomto okamihu jednoducho pridať na bielu listinu.

V procese vyskúšania môjho malého editora som objavil veľa súborov v priečinku Dokumenty, ktoré sa jednoducho neobjavili v Prieskumníkovi systému Windows. Podobne ako RansomFree a CyberSight RansomStopper, aj RansomOff používa súbory „návnady“ na pomoc pri jeho detekcii. Spravidla ich skryje z pohľadu, napríklad RansomStopper, ale v niektorých situáciách sa zobrazujú.

Vyžaduje ladenie

Väčšina nástrojov ochrany špecifických pre ransomware je superefektívna a robí svoju prácu ticho, s malou potrebou interakcie alebo konfigurácie používateľa. Inštalácia takéhoto nástroja popri existujúcej antivírusovej ochrane vám poskytne jednoduchú vrstvu sekundárnej ochrany. RansomOff je oveľa komplexnejší ako ktorýkoľvek z jeho konkurentov s pokročilými nastaveniami a funkciami, ktoré sú bezradné, bez dôkladného prečítania dokumentov. Pri testovaní zistil všetky vzorky ransomware, ale jeden z nich nechal šifrovanie súborov napriek detekcii.

Technici sa to môžu tešiť, ale v súčasnosti je pre priemerného používateľa príliš zložitá. Na ružovej strane vývojári rýchlo riešia akékoľvek problémy, dokonca aj aktualizujú program, aby počas mojej kontroly vyriešili niekoľko problémov. Teším sa na verziu, ktorá nevyžaduje toľko priemerného používateľa.

Check Point ZoneAlarm Anti-Ransomware je s jednoduchším rozhraním a vynikajúcou obnovou voľbou editorov pre ochranu ransomware. Ak platenie za ďalší bezpečnostný nástroj nie je to, čo ste mali na mysli, CyberSight RansomStopper je zadarmo a v tejto oblasti je tiež voľbou editorov.