Hodnotenie a hodnotenie trendov v mikroúveroch

Nedávne vypuknutie ransomwaru BadRabbit postihlo väčšinou ľudí v Rusku a jeho blízkom okolí, nie toľko v USA, ale nenechajte sa tým uspokojiť. Kto vie, kam zasiahne ďalší útok? Potrebujete ochranu pred ransomware a váš antivírus nemusí stačiť. Trend Micro RansomBuster ponúka viac vrstiev ochrany a je zadarmo pre osobné aj obchodné použitie. Naše testovanie však ukazuje, že vrstvy nie sú rovnako účinné.

RansomBuster je k dispozícii na stiahnutie zadarmo a je tiež súčasťou antivírusových a bezpečnostných produktov Trend Micro. Samostatný počítač Cybereason RansomFree je tiež súčasťou komplexnej bezpečnostnej sady spoločnosti Cybereason.

Rovnako ako RansomFree a Malwarebytes Anti-Ransomware Beta - ktorý je tiež bezplatný - sa má RansomBuster používať spolu so štandardným antivírusom. Oba tieto produkty sa zameriavajú na odhaľovanie ransomwaru na základe jeho správania; Ako vysvetlím, RansomFree umiestňuje súbory návnad do strategických umiestnení, aby pomohol s ich detekciou. RansomBuster obsahuje aj detekciu založenú na správaní, ale je to len jedna z jej schopností.

Ak RansomBuster zistí aj slabú možnosť aktivity ransomware, vytvorí bezpečnú zálohu postihnutých súborov. V okamihu, keď sa táto možnosť stane istotou, ukončí ransomware a pomocou zálohy obnoví všetky súbory, ktoré boli ovplyvnené počas jeho analýzy. Check Point ZoneAlarm Anti-Ransomware obnovuje postihnuté súbory podobným spôsobom.

Jedným veľmi jednoduchým spôsobom, ako zabrániť šifrovaniu súborov ransomware v priečinku Dokumenty (alebo iných citlivých priečinkoch), je jednoducho zakázať všetky úpravy nepovolenými programami. Dôveryhodný textový procesor alebo editor obrázkov používate rovnako ako vždy, ale komponent Folder Shield zabraňuje prístupu pomocou akéhokoľvek neznámeho programu. Bitdefender Antivirus Plus obsahuje podobnú funkciu, zatiaľ čo program Panda Internet Security dokonca zakazuje neznámym osobám čítať vaše súbory.

Začíname s RansomBuster

Inštalácia je rýchla a jednoduchá. Po inštalácii vás program vyzve, aby ste vybrali priečinky, ktoré chcete chrániť. Priečinok Dokumenty je predvolene predvolený, ale pridaním ďalších priečinkov sa nestarajte príliš divoko. Rýchlo sa dozviete, že toto bezplatné vydanie môže chrániť iba dva priečinky. Spočiatku to vyzeralo ako hlavné obmedzenie. Neskôr som si uvedomil, že výberom priečinka C: \ Users by ste mali chrániť väčšinu vašich dôležitých dokumentov.

Výber týchto priečinkov je jedinou možnosťou konfigurácie; Jedná sa o veľmi jednoduchý, zameraný program. Akonáhle ste sa rozhodli, RansomBuster sa práve spustí na pozadí a nevyžaduje ďalšiu interakciu, pokiaľ nenarazí na útok.

Testovanie štítu priečinka

Pre rýchlu kontrolu rozumnosti som spustil malý textový editor, ktorý som napísal sám. Tento program neexistuje nikde okrem môjho testovacieho počítača, takže sa určite považuje za neznámy program. Pokúsil som sa upraviť niektoré textové súbory v priečinku Dokumenty. RansomBuster úplne správne nahlásil neoprávnený prístup, čo mi dáva možnosť zablokovať tento prístup alebo pridať program do dôveryhodného zoznamu. Po krátkej dobe automaticky vyberie možnosť blokovania. To isté sa stalo, keď som vyskúšal jednoduchý ručne kódovaný program, ktorý simuluje správanie šifrovania ransomware.

Ďalej som vytiahol veľké zbrane - šesť vzoriek ransomwaru v reálnom svete. Na začiatku to vyzeralo dobre. Folder Shield zablokoval päť vzoriek, zatiaľ čo detekcia založená na správaní ulovila šiesty bod predtým, ako mohla spustiť reakciu zo zložky Shield. Všimol som si, že ak sa omylom rozhodnete dôverovať programu, ktorý sa ukáže ako ransomware, systém detekcie založený na správaní ho tiež ignoruje. Pozorne si prečítajte tieto upozornenia a dôverujte iba programom, o ktorých ste si istí.

Bližší pohľad odhalil, že veci neboli úplne hladné. Jedna zo vzoriek ransomware zašifrovala súbor v priečinku na pracovnej ploche skôr, ako ho niekto zachytil pomocou štítu priečinkov, pretože pracovná plocha nebola chránená. Ďalší šifroval tucet súborov v priečinku Desktop a pod ním a vo viacerých z nich vynechal výkupné. Poznamenal som, že dotknuté súbory boli typmi, ktoré by väčšina považovala za menej dôležité. Zahŕňali odkazy, súbory pomocníka, protokolové súbory a niekoľko súborov CSV. Môj kontakt v spoločnosti Trend Micro potvrdil, že tieto typy nepatria medzi takmer 40 typov súborov, ktoré sleduje systém detekcie založený na správaní.

Testovanie detekcie založenej na správaní

Folder Shield dokáže chrániť iba obsah dvoch priečinkov, ale cieľom systému detekcie správania je označiť správanie podobné ransomware bez ohľadu na to, kde sa to stane. Pre test špecifický pre detekciu založenú na správaní som deaktivoval štítok Folder Shield a opakoval moje testy ransomware v reálnom svete. Výsledky neboli pekné.

RansomBuster urobil nabitie troch zo šiestich vzoriek. Jeden z nich označil za podozrivého a ukončil ho skôr, ako mohol podniknúť akékoľvek škodlivé kroky. Identifikoval ďalšie dva ako ransomware, vymenoval súbory, ktoré boli zašifrované, a oznámil úspešnú obnovu.

Ostatné tri vzorky však bežali nekontrolovane, šifrovali súbory doprava a doľava a zobrazovali svoje výkupné, a to všetko bez nahliadnutia z RansomBuster. Testované s rovnakými vzorkami, ZoneAlarm zistil všetkých šesť a obnovil všetky súbory. Jedinou chybou ZoneAlarm? V jednom prípade uviedla, že nedokázala obnoviť všetky súbory, keď v skutočnosti zlyhala.

Ochrana ransomware zabudovaná do Acronis True Image detegovala všetky okrem jednej vzorky, čím obnovila všetky postihnuté súbory zo svojej bezpečnej online zálohy. RansomFree tiež zistil všetky okrem jedného. Malwarebytes ich všetky zistil, ale v jednom prípade ransomware pred neutralizáciou zašifroval niekoľko súborov.

Zmiešané výsledky

Oceňujem skutočnosť, že spoločnosť Trend Micro ponúka službu RansomBuster zadarmo. Želám si, aby to fungovalo lepšie. Folder Shield je účinný, ale pri testovaní sa detekcia založená na správaní nevy darila dobre. Ak ste veľký fanúšik Trend Micro, môžete to zvážiť. Ale ak ste veľký fanúšik Trend Micro, pravdepodobne už máte túto ochranu vo svojom antivírusovom alebo bezpečnostnom balíku.

Našou voľbou editorov pre ochranu ransomware je ZoneAlarm Anti-Ransomware. Nie je to zadarmo, ale pri 2, 99 $ mesačne to banku nezlomí a úspešne sa bráni proti všetkým našim vzorkám ransomwaru v reálnom svete. Zadarmo Malwarebytes Anti-Ransomware Beta tiež detekoval všetky vzorky, hoci stratil pár súborov na šifrovanie a Cybereason RansomFree úspešne detekoval a zablokoval všetky okrem jedného. Ak chcete zvýšiť ochranu ransomwaru nad rámec toho, čo je zabudované vo vašom antivírusovom programe, jedným z týchto nástrojov je lepšia voľba.