Перевірка та рейтинг зони-сигналізації про захист від викупу

Суть файлів, що шифрують файли, не вимагає відключення комп'ютера. Зрештою, вам знадобиться комп’ютер, який працює, щоб заплатити викуп. Найбільш уразливі файли - це ваші документи, зображення та інші особисті файли, тому деякі продукти перешкоджають викупу програм, забороняючи несанкціоновані зміни цих файлів. Bitdefender Antivirus Plus, Trend Micro RansomBuster та Panda Internet Security - серед продуктів, що використовують цей тип захисту. Коли процес намагається несанкціонувати доступ, ви отримуєте сповіщення. Якщо ваша нова утиліта для редагування зображень викликала попередження, просто додайте її до списку надійних. Але якщо попередження не відповідає нічого, що ви робите, заблокуйте його!

Panda Dome Advanced йде на крок далі, блокуючи навіть доступ лише для читання несанкціонованими програмами. На додаток до запобігання викупному програмному забезпеченню, цей рівень захисту може також слугувати фальсифікованим троянцям.

Перш ніж рішення безпеки може проаналізувати поведінку програми на предмет показових знаків викупу, воно повинно побачити певну поведінку. За цей період зловмисник цілком може зашифрувати кілька файлів, а то й багато файлів. Acronis Ransomware Protection включає в себе виявлення на основі поведінки, а також його центральну функцію резервного копіювання, але також може автоматично відновити будь-які зашифровані файли із захищеної онлайн-резервної копії. ZoneAlarm також має на меті відновити будь-які файли, постраждалі від викупу.

Початок роботи з антивірусним засобом ZoneAlarm

Ви можете користуватися цим продуктом безкоштовно протягом 30 днів, і вам навіть не потрібно надавати інформацію про кредитні картки. Ви можете скасувати безоплатно до 30-денного терміну, але після цього ви будете платити 1, 99 долара на місяць.

Установка швидка і проста. За лічені хвилини ви бачите велике, надпросте головне вікно. Все, про що йдеться, - це захист ваших файлів від викупу. Тут немає налаштувань, журналів, нічого, крім простого, заспокійливого екрана. Ви можете мінімізувати програму до її піктограми в області сповіщень і ніколи більше не думати про неї знову… доти, доки не буде здійснено напад програм. Ви можете помітити деякі нові файли у папці «Документи» та інших місцях; як Cybereason RansomFree та RansomStopper, ZoneAlarm створює файли «наживки», щоб допомогти зловити поведінку викупників.

Боротьба з реальним світом

Як ви протестуєте інструмент захисту від викупу на основі поведінки? Справді, єдиний спосіб зробити це - використовувати реальне програмне забезпечення у реальному часі. Інструменти моделювання можуть бути корисними, але будь-який тренажер, який повністю і по-справжньому наслідує поведінку викупового програмного забезпечення, сам по собі буде викупом. Щоб перевірити захист від вимикаючих програм від ZoneAlarm та подібних продуктів, я використовую зразки викупних програм, знайдені в дикій природі. Звичайно, я тестую тестування на ізольованій віртуальній машині, яка стирається після кожного тесту.

Я додаю до своєї колекції викупних програм, коли я знаходжу нові зразки, але не кидаю старих. Засоби захисту від компенсації не схожі на звичайні антивірусні утиліти. Вони не шукають відомих нападників, а скоріше для поведінки нападів. Отже, використання старіших зразків немає ніякої шкоди. Я вже перевіряв ZoneAlarm з більшістю моїх поточних зразків, але я повторив тест незалежно. Я радий, що це зробив, оскільки це виявило проблему (швидко виправлена) з однією версією програмного забезпечення.

Незабаром після того, як я запустив перший зразок, з'явилося головне вікно ZoneAlarm з великим попередженням про те, що воно виявило атаку викупної програми. Про це відкриття також оголосив перехідний спливний тостер. Мої контакти з пункту пропуску вказали, що це спливаюче вікно не є зайвим. Якщо ви переповнені сучасним інтерфейсом програми, ви побачите спливаюче вікно, але не головне вікно.

Через короткий час додаток оголосив, що наклав карантин на викуп. Він попереджав, що атака змінила деякі файли та запропонувала відремонтувати файли, які постраждали. Я навіть не впевнений, чому це необов’язково - хто скаже "ні на ремонт"? Для тестування я завжди вибирав варіант ремонту.

На сторінці, на якій перераховані файли, які впливають, є посилання під назвою Not Ransomware. У рідкісному випадку, коли ZoneAlarm випадково ідентифікує дійсну програму як програму, що вимагає, натискання цього посилання - це ваш шанс врятувати програму. Я не бачив помилкових позитивних результатів, тому в кожному випадку я вирішив відновити файли та перевірити їх стан після цього. ZoneAlarm як відновив зашифровані файли, так і викреслив нотатки про викуп та інші допоміжні файли, скинуті програмою викупу.

В одному випадку викупник вибив Windows Explorer, не побачивши нічого, окрім випадкових записів. Коли ZoneAlarm закінчився, у мене був лише порожній екран. Мені довелося піднести диспетчер завдань і перезапустити Провідник Windows. Повторивши тест, я виявив, що форсування жорсткого скидання також зробило трюк.

Атака викупу Петя відрізняється від усіх інших моїх зразків. Замість шифрування файлів він підробляє збої в системі і робить вигляд, що він запускає CHKDSK при перезавантаженні. За лаштунками він шифрує весь ваш жорсткий диск. Ви не просто втрачаєте файли до Петя; ви втрачаєте весь доступ до свого комп’ютера.

Коли я запустив зразок Petya, ZoneAlarm одразу зловив його, як і RansomStopper та Acronis. Я не перевіряв будь-який засіб захисту від компенсації проти Petya, але CryptoDrop Anti-Ransomware, Malwarebytes та RansomFree не захищав від нападу Petya.

Зрештою, ZoneAlarm виявився цілком успішним проти всіх моїх реальних зразків викупових програм. RansomFree виявив мої зразки, але не прибирав речі, як банкноти про викуп. Malwarebytes дозволяють ransomware зашифрувати кілька файлів, перш ніж керувати, щоб зупинити процес. Акроніс повністю пропустив один із моїх зразків, але в іншому випадку зробив добре. CryptoPrevent Premium пропустив більшість моїх зразків, незважаючи на те, що робочий стіл переповнений безліччю файлів наживок. Тільки RansomStopper зробив краще, блокуючи всі зразки, не вимагаючи після цього фази очищення.

Імітоване викупне програмне забезпечення не зовсім без значення. Рішення, що вимагає вимога, може продемонструвати успіх, заблокувавши симуляції. Я просто не сприймаю провал блокування імітованих атак як фактичний збій. Раніше, коли я намагався протестувати ZoneAlarm за допомогою симулятора викупового програмного забезпечення RanSim від KnowBe4, це знищило допоміжні процеси програми, що зробило неможливе оцінка. Цього разу він виявився менш важким, успішно заблокувавши всі 10 сценаріїв моделювання, і залишив програму живою, щоб повідомити про цей успіх.

Страшний хибний старт

Поза моїм тестуванням цей огляд читався зовсім інакше. У ньому було багато коментарів щодо того, що ZoneAlarm невдало виходив з ладу та не вдається усунути проблеми з вибуховим програмним забезпеченням. Під час цього раунду тестування ZoneAlarm досяг повного успіху на меншій половині моїх зразків.

Копавшись в журнали зі своїми контактами на компанії, я дізнався, що сталося. Check Point випустив погану версію продукту, одна з яких зазнав збоїв, але швидко замінив її на офіційному посиланні для завантаження, на той, що надається платним клієнтам. На жаль, посилання для завантаження для пробної версії зберегло несправний код. Я завантажив пробну версію, а потім оновив за допомогою реєстраційного ключа, який залишив мені версію, що схильна до збоїв.

Ми вирішили проблему, і ZoneAlarm в черговий раз виявився абсолютно ефективним. Але мені цікаво, скільки людей схопили поганий код із пробного посилання до його виправлення? І чому пробне видання автоматично не оновилося до останнього, найбільшого коду? Цей страшний хибний старт призвів до відмінності в іншому випадку.

Найкращий захист від викупу

Захист від сказування все ще є новим полем, і нові продукти постійно з'являються. Серед якихось інструментів, пов’язаних з випуском програм, я перемагав ZoneAlarm Anti-Ransomware. Він успішно обробив усі мої зразки реального програмного забезпечення, і він виправив усі зміни, внесені процесами вибору програмного забезпечення, включаючи витирання відміток про викуп, які деякі інші продукти залишають позаду. Якщо ви переживаєте про викуп програмне забезпечення (і вам це повинно бути), ціна на 1, 99 долара на місяць може здатися прекрасною.

Якщо ви не готові витрачати ціну на чашку кави щомісяця, ви все одно можете отримати ефективний захист від викупу. CyberSight RansomStopper не коштує ні копійки, і це було так само добре, як тестування ZoneAlarm. Ви можете стверджувати, що це було краще. Там, де ZoneAlarm відремонтував усі постраждалі файли, RansomStopper ніколи не дозволяв шифрувати в першу чергу. Ці два - це наш вибір редакторів для спеціального захисту від вимикання.