Recenzia a hodnotenie beta anti-ransomware Malwarebytes

Váš plnohodnotný antivírusový program pravdepodobne robí veľmi dobrú prácu, aby udržal počítač bez škodlivého softvéru. Nikto však nie je dokonalý, takže občas môže zbrusu nový vírus alebo trójsky kôň prekonať ochranu v reálnom čase. Aj v takom prípade antivírusová aktualizácia zvyčajne situáciu vyrieši už dlho. Ale ak hrozba, ktorá prešla cez šifrovanie ransomware, máte problémy. Aktualizovaný antivírus samozrejme dokáže odstrániť problémový program, ale poškodenie je už spôsobené. Vaše súbory zostávajú šifrované a neprístupné. Cieľom programu Malwarebytes Anti-Ransomware Beta je zachrániť túto bolesť zachytením akéhokoľvek výkupného softvéru, ktorý antivírusom chýba.

Nehanbite sa, pretože v názve je „beta“. Tento bezplatný produkt sa neustále testuje vo verzii beta a od spoločnosti Malwarebytes dostáva všetky najnovšie technológie bojujúce proti ransomware. Neskôr, keď sa odstránia nejaké drsné miesta, spoločnosť presunie túto technológiu do komerčného Malwarebytes Anti-Ransomware for Business. To uspokojuje tím IT, ktorý zvyčajne dáva prednosť špičkovým technológiám.

Ochranu ransomwaru získate prirodzene ako súčasť úplnej náhrady antivírusu spoločnosti Malwarebytes 3.0 Premium. Samostatný produkt na ochranu ransomware funguje spolu s existujúcim antivírusom a snaží sa zachytiť všetko, čo hlavný antivírus chýba.

Štýly ochrany Ransomware

Existuje množstvo rôznych spôsobov, ako bezpečnostné produkty implementujú ochranu ransomware. Jedným zo spôsobov je riadenie prístupu k chráneným miestam, chráneným typom súborov alebo k obom. Zelené osvedčené programy, ako sú súčasti systému Windows a programy balíka Office, dostanú zelenú. Keď sa neznáma aplikácia pokúsi o prístup, produkt zabezpečenia varuje používateľa pred možným útokom ransomware. Ak ide iba o nový editor dokumentov, používateľ ho môže na bielu listinu kliknúť; ak ide o ransomware, ďalšie kliknutie ho odošle do karantény.

Niektoré produkty iba bránia zmenám chránených súborov. Iní, vrátane softvéru IObit Malware Fighter 5 Pro a Panda Internet Security, dokonca bránia neoprávnenému čítaniu údajov z chránených súborov. Tento typ ochrany tiež zabraňuje trójskym koňom ukradajúcim údaje, aby zbavili vaše osobné údaje.

Je možné, že zložitý proces ransomware by mohol urobiť špinavé skutky podvrhnutím bielej listiny alebo nájsť nejaký iný spôsob, ako obísť obmedzenia prístupu. Aj keby sa to stalo, produkt, ktorý detekuje ransomware na základe svojho správania, by mohol útok ešte znemožniť. Takto funguje Malwarebytes Anti-Ransomware. Cybereason RansomFree používa podobný prístup.

Ochranné vrstvy špecifické pre ransomware nájdete aj v rôznych štandardných antivírusových produktoch. Bitdefender a Trend Micro obsahujú takýto komponent. Detekcia škodlivého softvéru pomocou Webroot SecureAnywhere AntiVirus je úplne založená na správaní a systém zaznamenávania a vracania obsahu tohto nástroja pre neznáme programy môže skutočne zvrátiť útok ransomware. Spoločnosť upozorňuje, že priestor, ktorý je k dispozícii na zapisovanie do denníka a návrat, je obmedzený.

Začíname s Malwarebytes

Malwarebytes Anti-Ransomware je malý a ľahký program, ktorý sa nainštaluje za okamih. Jeho jednoduché hlavné okno má iba tri karty: informačný panel, karanténa a vylúčenia. Prístrojová doska jednoducho potvrdzuje, že ochrana je aktívna, a ponúka odkaz na zapnutie a vypnutie ochrany. V karanténe neuvidíte nič, pokiaľ produkt nenarazí skutočný útok ransomware.

Prečo by ste chceli vylúčiť súbor z detekcie? Toto je produkt beta a je možné si predstaviť, že legitímny produkt šifrovania by sa mohol zachytiť vo svojej sieti. Ak sa stretnete s takým falošným pozitívom, stačí ho zachrániť z karantény a zaradiť ho do zoznamu vylúčení.

Testovanie ochrany Ransomware

Testovanie ochrany ransomware je tvrdšie ako testovanie ochrany škodlivého softvéru na všeobecné účely. Škodlivé programy samotné niekedy sledujú známky testovania a ležia nízko. Na druhú stranu, ak si nie ste opatrní so vzorkami ransomwaru v reálnom svete, môžu uniknúť väzeniu z virtuálneho stroja a spôsobiť skutočné škody.

Produkty ako Panda Internet Security, ktoré fungujú pomocou riadenia prístupu k súborom, sa dajú ľahko testovať. Mám malé testovacie programy, ktoré vykonávajú tento druh ochrany.

Pri ochrane založenej na správaní však niekedy používam iba reálny ransomware v starostlivo kontrolovanom prostredí. Moje testovanie ransomware sa stále vyvíja. V súčasnosti mám tri vzorky z reálneho sveta, hrozby, ktoré som zozbieral z nebezpečných webových stránok. Malwarebytes sa mi pri mojom praktickom teste daril dobre.

Prvá vzorka ransomware je náladová. Často to iba beží ako proces na pozadí bez toho, aby urobil čokoľvek. Bez správania nemôže dôjsť k detekcii založenej na správaní, takže Malwarebytes získava prihlášku.

Malwarebytes chytil druhého červeného, ​​umiestnil ho do karantény a požiadal o reštartovanie, aby sa dokončilo jeho vyčistenie. Po reštarte som zistil, že počas analýzy správania Malwarebytes sa ransomware podarilo zašifrovať niekoľko súborov. Zdá sa mi to ako prirodzený dôsledok detekcie založenej na správaní. Bez správania ransomware neexistuje detekcia, však? Môj kontakt na Malware bytes však hovorí, že „sa k riešeniu tohto problému skutočne dostávajú“.

Tretia vzorka tiež padla za obeť Malwarebytes. Po reštarte na chvíľu som si myslel, že ransomware stále beží, pretože zobrazuje požiadavku na výkupné ako textový súbor, dokument HTML a obrázok PNG. Ukazuje sa však, že ransomware tieto súbory jednoducho vyhodil do spúšťacieho priečinka, takže sa pri spustení otvorili. Neexistovala žiadna stopa samotnej škodlivej aplikácie. Tu opäť malware zakódoval niekoľko súborov predtým, ako sa spustila ochrana.

Simulovaný Ransomware

Jediný úplne spoľahlivý spôsob testovania detekcie ransomware založeného na správaní je použitie skutočného ransomware. Akákoľvek simulácia, ktorá by úplne duplikovala aktivitu šifrovacej hrozby ransomware, by sama o sebe bola malware. To však nie je dôvod na úplné odpisovanie testovania pomocou simulovaného ransomware.

KnowBe4, bezpečnostná školiaca spoločnosť, vydala bezplatný nástroj s názvom RanSim, ktorý je určený na testovanie vašej ochrany proti ransomware. Prevádzkuje moduly, ktoré implementujú desať bežných techník šifrovania ransomware, ako aj dve podobné, ale neškodné techniky. Teoreticky najlepší produkt zablokuje všetky techniky ransomware a neškodné ponechá na pokoji.

Keď som testoval aktívnu ochranu ransomware zabudovanú do Acronis True Image 2017 novej generácie, zablokoval všetky okrem jedného simulovaného útoku. Úplná záloha, obrnená proti neoprávneným zmenám, samozrejme predstavuje veľkú pomoc pri zotavení sa z útoku škodlivého softvéru.

RansomFree nezistil žiadny zo simulovaných útokov. Jeho návrhári zdôraznili, že simulované útoky ovplyvňujú iba súbory niekoľko úrovní priečinkov pod priečinkom Dokumenty, nikde inde. Žiadny ransomware zo skutočného sveta sa tak nechová.

Pokiaľ ide o Malwarebytes, aktívne sa bránil proti ôsmim z 10 simulovaných útokov, ale vynechal dva. Kvôli problémom pri používaní simulovaného ransomwaru považujem to za plus, keď produkt zistí moduly RanSim, ale zlyhanie RanSim považujem za neinformatívne, nie negatívne.

Pridajte do svojho arzenálu

Malwarebytes Anti-Ransomware Beta sa pri mojom jednoduchom praktickom testovaní daril dobre. Iste, niektoré ransomware šifrovali niekoľko súborov, ale bez ochrany by to urobilo oveľa, oveľa horšie. Ochrana Ransomware je nevyhnutne vecou vrstiev. To, čo jedna zložka vynechala, iná sa môže chytiť. Pridal som Malwarebytes do arzenálu utilít chrániacich môj hlavný produkčný systém, spolu s Norton Internet Security a Cybereason RansomFree.