Огляд та рейтинг захисту від випробувань від захисту від випробувань Acronis

Зловмисне програмне забезпечення існує у багатьох різновидах, і теоретично ваш антивірус повинен обробляти їх усіма. І все-таки розумно додати додатковий шар захисту від випробувань. Якщо ваш антивірус пропустить абсолютно новий троянин або вірус, то він, ймовірно, застане його наступним оновленням. Але видалення програмного забезпечення, яке не вимагає, не скасовує шкоди. У вас ще немає своїх зашифрованих файлів назад. Ось чому додати щось на кшталт безкоштовного захисту від викупу Acronis є розумним кроком.

Acronis представила свою технологію Active Protection як частину утиліти для резервного копіювання Acronis True Image. Acronis Ransomware Protection пропонує точно таку ж технологію безкоштовно і вміщує 5 Гб розміщеного резервного копіювання в Інтернеті як другу лінію захисту. Природно, компанія сподівається, що вам сподобається настільки, що ви отримаєте весну за платний резервний продукт.

Початок роботи із захистом від викупу Acronis

Завантаження утиліти, реєстрація в обліковому записі та запуск інсталятора займає всього кілька хвилин. Після короткого підручника продукт негайно вступає в дію, оцінюючи всі активні процеси як безпечні або підозрілі. На відміну від простих, статичних дисплеїв RansomFree та Malwarebytes Anti-Ransomware Beta, Acronis показує барвистий рухливий графік активних процесів за останні кілька хвилин. Зелений колір представляє безпечні процеси, тоді як підозрілі проявляються як сині. Червона лінія на графіку вказує на виявлення поведінки, що підказує викуп.

Ваша установка не завершена, поки ви не визначите важливі файли для резервного копіювання в Інтернеті. Це так само просто, як викидання файлів або каталогів у головне вікно програми. Ви можете додати більше файлів для захисту в будь-який час, до обмеження 5 Гб.

Блокування викупу

Коли Acronis виявить підозрілу активність, вона спливає вікно попередження і запитує, чи довіряти чи блокувати процес. Якщо ви зайняті програмою архівації для стиснення та шифрування файлів, просто натисніть Довірити. Якщо повідомлення несподіване, натисніть Заблокувати.

Після натискання Блокувати, інше спливаюче вікно пропонує відновити будь-які файли, на які впливає. Зауважте, що це не означає відновлення з резервної копії. Acronis може відновити будь-які подібні файли зі свого локального кешу. Резервне копіювання - додаткова лінія захисту. Шанс, що відновлення не було ефективним, Acronis зберігає зашифровані файли у спеціальній папці.

У цьому другому спливаючому вікні також зазначено: "Ви можете заблокувати цей процес, щоб назавжди його заблокувати", що мене трохи заплутало. Не було посилання на чорний список програми, і, звичайно, вона не відображалась у вікні "Управління процесами", оскільки Acronis вже припинив її.

Я виявив, що запуск одного і того ж зразка двічі та блокування його вдруге отримав дещо інший результат. У спливаючому вікні попередження додано прапорець під назвою "Запам'ятати мій вибір для цього процесу", встановлений за замовчуванням. Цього разу, натиснувши Блокувати, активно включив у чорний список і запропонував посилання на сторінку Керування процесами.

Мій контакт в компанії Acronis підтвердив, що це працює як задумано, і це дійсно ефективно. Однак я думаю, що повідомлення може бути зрозумілішим.

Acronis в дії

Єдиний спосіб дійсно бути впевненим у тому, що продукт захисту від вимушеного програмного забезпечення працює - це піддавати його реального програмного забезпечення. У мене є півдесятка зразків, які я використовую для цього виду тестування. Акроніс заблокував усіх, крім одного, що краще, ніж багато. RansomFree також пропустив один. CryptoPrevent Premium пропустив половину зразків, а деякі з них, які потрапили, встигли зашифрувати численні файли перед виявленням.

Bitdefender Anti-Ransomware також пропустив половину зразків, але я повинен зазначити, що Bitdefender не намагається виявити поведінку викупового програмного забезпечення. Швидше, він вакцинує систему проти відомих викупників, посадивши прапори, завдяки яким система виглядає так, що вона вже заражена.

З іншого боку, Malwarebytes і Check Point ZoneAlarm Anti-Ransomware спіймали всі мої зразки, хоча одному зразку вдалося зашифрувати декілька файлів, перш ніж Malwarebytes закрили його. Єдиною помилкою ZoneAlarm було повідомлення про те, що вона не змогла відновити всі файли в одному екземплярі, коли насправді це вдалося.

Перш ніж я мав фактичні зразки програмного забезпечення, я написав дуже простий симулятор вимкнення, який я назвав FakeCryptor. Він запускається при запуску, шукає текстові файли у папці Документи та шифрує їх за допомогою простого, оборотного алгоритму. Системи виявлення, що базуються на поведінці, часто не виявляють цей простодушний інструмент, оскільки він не використовує серйозні алгоритми шифрування, знайдені в реальному програмному забезпеченні. Acronis не відзначив це підозрілим, хоча RansomStopper та Trend Micro RansomBuster зробили це. Це не є чорною позначкою для Acronis, оскільки ця програма насправді не є програмою для викупу.

Під час тестування я виявив, що CyberSight RansomStopper спіймав мою програму FakeCryptor, коли я запускав її вручну, але не тоді, коли вона запускалася при запуску. Це запропонувало нове випробування. Я взяв зразок викупного програмного забезпечення, який Acronis безумовно зірвав, опустив його в папку Startup і перезавантажив систему. Як і RansomFree, Acronis успішно заблокував атаку викупки при запуску системи.

Нещодавно я отримав зразок жахливого викупу Петя. Цей інший. Замість того, щоб шифрувати певні файли, він виконує шифрування на цілому диску, це означає, що ви взагалі не можете використовувати свій комп'ютер. Я протестував лише кілька продуктів з Petya, і результати неоднозначні. Як і RansomStopper, Acronis спіймала атаку, перш ніж вона могла завдати будь-якої шкоди. Але Cybereason RansomFree та Malwarebytes чітко зосереджені на викупному файлі для шифрування файлів, тому вони його пропустили.

Модельований викуп

Розвідувальна служба безпеки KnowBe4 пропонує безкоштовний симулятор викупу, який називається RanSim. Цей інструмент запускає 10 допоміжних програм, що імітують 10 різних типів поведінки програмного забезпечення, а також два процеси, які виконують законні завдання шифрування, і тому їх не слід блокувати. Я відзначаю високі бали в цьому тесті, але не штрафуйте за низькі бали. Зрештою, це лише симуляції, а не власне викупні програми. Наприклад, RansomFree ігнорував їх повністю, як і RansomStopper.

Як і RansomBuster, Acronis виявив і заблокував усі 10 модельованих атак викупних програм і неправильно заблокував один з невинних процесів. ZoneAlarm усунув усі допоміжні процеси, перш ніж вони могли запуститися, не давши RanSim не в змозі запропонувати рахунок.

Інші підходи

Як і більшість засобів захисту від програмного забезпечення, Acronis покладається на виявлення на основі поведінки. Він також включає два рівні відновлення файлів, локальний кеш і резервне копіювання в Інтернеті. Але це не єдині підходи до відмови від атаки викупних програм.

Як зазначалося, безкоштовний інструмент захисту від викупу Bitdefender обманює деякі відомі типи викупних програм, думаючи, що вони заразили систему. Bitdefender Antivirus Plus робить трохи більше. Окрім виявлення вимушеного програмного забезпечення та інших зловмисних програм на основі поведінки, він блокує несанкціоновані зміни будь-яких файлів у папках, які ви призначили для захисту. Якщо він з'являється при першому використанні нового редактора зображень, просто додайте в білий список програми. Якщо він з’явиться, коли ви нічого не зробили, заблокуйте зловмисника.

Trend Micro Antivirus + Security та RansomBuster також блокують несанкціонований доступ до захищених файлів. Panda Internet Security та IObit Malware Fighter 5 Pro роблять крок ще більше, не даючи стороннім програмам навіть читати захищені файли.

Webroot SecureAnywhere AntiVirus застосовує незвичний підхід до виявлення зловмисних програм взагалі. Коли він стикається з невідомим процесом, він починає вести журнал про всі види діяльності та надсилати дані про поведінку до своєї системи хмарного аналізу. Це також запобігає будь-яким незворотним діям, таким як передача ваших приватних даних з комп'ютера. Якщо хмарна система вирішить, що процес є шкідливим, Webroot припиняє його і скасовує всю свою діяльність. Цей процес може змінити атаку, яка вимагає виграшного програмного забезпечення, хоча Webroot попереджає, що існує обмеження щодо кількості даних про діяльність, яку вона може кешувати.

Прекрасний вибір

Acronis Ransomware Protection - прекрасне доповнення до вашого арсеналу безпеки. Він працює поряд з вашим антивірусом як другий рівень захисту від атаки, яка вимагається. Для ще одного рівня захисту він пропонує хмарне резервне копіювання на 5 ГБ ваших найважливіших файлів. З огляду на те, що вони обидва безкоштовні, ви також можете спробувати Cybereason RansomFree та Malwarebytes Anti-Ransomware, перш ніж приймати остаточне рішення.

Вибір наших редакторів у царині захисту від шахрайства не є безкоштовним, хоча і не дорогим. Анти-викупний засіб Check Point ZoneAlarm коштує 2, 99 долара на місяць за три ліцензії. У наших практичних тестах це виявилося чудовими показниками, виявивши всі зразки програмного забезпечення та правильно відновивши всі файли. Єдиною помилкою було неправильне повідомлення про те, що файли не були успішно відновлені.