Огляд та оцінка рейтингів безбезпеки від Cybereason

Якщо ваш антивірус не зможе зафіксувати троянський троянин даних, ви можете отримати нову кредитну картку. Якщо справжній вірус пережив свою захисну силу, агресивний засіб для очищення повинен подбати про проблему. Але якщо ваш антивірус пропустить атаку, яка вимагає викупу, ви можете втратити всі документи або навіть втратити доступ до комп'ютера. Ось тут і приходить RansomFree від Cybereason. Ця безкоштовна спеціалізована утиліта захисту від вимушеного програмного забезпечення працює поряд з існуючим антивірусним програмним забезпеченням. Він орієнтований на 100 відсотків на виявлення та запобігання зараженню вимогами, спостерігаючи за поведінкою, характерною для цих атак. Під час тестування з неприємними зразками зловмисного програмного забезпечення в реальному світі він виконує роботу.

Члени команди Cybereason пройшли навчання в елітному підрозділі 8200 Ізраїльського розвідувального корпусу, команді, присвяченій кібербезпеці. Вони порізали зуби на кібератаках військового рівня, і тепер вони забезпечують високу захист великим компаніям, включаючи SoftBank, Vizio та Lockheed Martin. Оскільки епідемія викупного програмного забезпечення почала наражати на небезпеку більше споживачів, генеральний директор компанії вирішив витягнути компонент для викупу з повного пакету безпеки Cybereason і надати цей захист від вимушеного ПЗ безкоштовно. Малий бізнес також може ним користуватися; більший бізнес повинен розглянути повномасштабний сервіс Cybereason.

Відразу після встановлення RansomFree починає захищати вашу систему від викупу. Він працює у фоновому режимі, спостерігаючи за поведінкою, характерною для викупу. У рамках цього процесу він створює файли "приманки" в таких місцях, як робочий стіл та папка "Документи". Антивірусних підписів немає; RansomFree покладається на виявлення на основі поведінки.

Атака викупу

RansomFree входив до числа перших інструментів безпеки, які я розглядав минулого року. У той час у мене було лише кілька зразків реального світу, а також їх модифіковані вручну варіанти. Зараз у мене є півдесятка зразків, які охоплюють різні сім’ї викупників. RansomFree виявив і заблокував їх усіх.

Коли він помічає процес, який діє як викупне програмне забезпечення, RansomFree призупиняє цей процес і показує велике попередження. Ви натискаєте кнопку Так, щоб припинити процес та усунути будь-які проблеми. Ви також можете натиснути Ні, але я не рекомендую цього. Існує посилання для перегляду всіх файлів, створених, модифікованих або видалених процесом порушення. Переглядаючи цю інформацію, я міг побачити, наприклад, що один зловмисник створив виконуваний файл із випадковим іменем прямо в папці «Документи» і перейшов управління до цієї програми. Інший видалив свою присутність на диску після завантаження в пам'ять.

У деяких випадках RansomFree вискакував два чи навіть три рази; Я завжди клацав Так. Після завершення він попереджав, що програмне забезпечення, що вимагає викуп, могло залишити після себе записку про викуп або інший детрит, який потрібно очистити вручну. Дійсно, я знайшов записки про викуп у кількох випадках.

Я зіткнувся з парою продуктів, які не змогли запобігти атаці викупних програм, запущеній при запуску Windows. Приклад IObit Advanced SystemCare Ultimate, як і безкоштовний CyberSight RansomStopper. Коли я налаштував зразок програмного забезпечення для запуску при запуску, RansomFree не мав проблем з його виявленням та припиненням.

У мене є під рукою невеликий, простий симулятор викупу, програма, яку я написав сам. Все, що потрібно зробити - це знайти текстові файли у папці «Документи» та застосувати до них шифрування XOR. Цей прийом просто перевертає всі біти до нуля і всі нульові біти до одного; застосувавши його вдруге, розшифровує файл. Це виявилося занадто простодушним, щоб помітити RansomFree, і справді це не справді руйнівно. Досить багато конкуруючих утиліт ігнорували мій FakeCryptor, серед них Acronis та CryptoDrop Anti-Ransomware.

Зашифрований диск шифрування

Найпоширеніший тип програми, що вимагає шифрування, шифрує основні файли, але залишає роботу комп'ютера. Це має ідеальний сенс, оскільки жертві потрібен доступ до Інтернету та комп’ютера, щоб заплатити викуп. Однак є ще один, менш поширений тип, який виконує шифрування цілого диска, що ефективно прискорює пристрій, поки ви не заплатите. Сумно відомий викупник Петя - це одне таке, і мені вдалося взяти зразок Петя.

Утиліти захисту від викупу на основі поведінки не обов'язково захищають від цього типу нападу. З чотирьох інших продуктів, які я перевірив з моменту отримання зразка Petya, Acronis і RansomStopper запобігли атаці Petya, але Malwarebytes Anti-Ransomware Beta і CryptoDrop не стали.

Повідомлення в блозі Cybereason змусило мене думати, що RansomFree може зупинити Петю. Однак, коли я запустив зразок, він перейшов до збоїв у системі та запустив вигляд низького рівня ремонту диска під час перезавантаження. Насправді він шифрував диск, а не ремонтував його. Варто відзначити, що шифрувальний диск на дисках є набагато рідшим, ніж тип шифрування файлів, і що ваш антивірус, швидше за все, схопив би його, перш ніж він міг заподіяти шкоду.

Модельована викупна криза

KnowBe4 - компанія, яка більше відома своїми тренінгами по боротьбі з риболовлею, ніж продуктами, але пропонує безкоштовний RanSim Ransomware Simulator. Не торкаючись жодних ваших власних дорогоцінних файлів, RanSim імітує десять найпоширеніших методик викупу, а також дві нешкідливі методи, які захист від вимушеного програмного забезпечення не повинні блокувати.

Я встановив RanSim у тестовій системі і провів його тестові послідовності, з невтішними результатами. RansomFree правильно утримався від втручання у два хибнопозитивні сценарії, але також не зробив нічого для блокування 10 сценаріїв викупних програм.

Після деякого копання, подряпин у голові та суміщення з Cybereason та KnowBe4 я прийшов до розуміння проблеми. RanSim розміщує свої тестові файли у папках у папках, на чотири рівні нижче папки «Документи». Шифрування таких файлів, не торкаючись фактичного вмісту папки «Документи», просто не є поведінкою, що відповідає жодному реального програмного забезпечення. Тож RansomFree це ігнорує. Acronis заблокував усі 10 сценаріїв, а Malwarebytes отримав вісім. Інші викреслили всю тестову платформу, це означає, що вона не могла повідомити жодних результатів.

Інші проспекти

Ransomware є серйозною проблемою, тому не дивно, що інші компанії розробили власні методи боротьби з цим. Усі виявлення зловмисних програм у Webroot SecureAnywhere AntiVirus засновані на поведінці, а не лише на виявленні викупних програм. Антивірус негайно видаляє будь-який процес, який відповідає існуючим профілям поведінки зловмисного програмного забезпечення. Якщо не на 100 відсотків зрозуміло, що підозрюваний процес є шкідливим, Webroot реєструє свої локальні дії та віртуалізує будь-які незворотні дії, такі як надсилання інформації через Інтернет. Коли пізніше його хмарний аналіз ідентифікує цей підозрілий процес як зловмисне програмне забезпечення, локальний клієнт використовує дані журналу, щоб змінити всі дії цього процесу, у тому числі відміняти дії шифрування, виконані програмою-сканером.

Ви повинні придбати повний пакет Panda Internet Security, щоб отримати захист від вибору програмного забезпечення від Panda; автономний антивірус не включає компонент Data Shield. Data Shield спрямований на захист ваших дорогоцінних документів від несанкціонованого доступу, тому викупники не можуть зашифрувати ваші файли, а троянці не можуть вкрасти ваші дані. Якщо Panda виявить спробу доступу будь-якою несанкціонованою програмою, він запитує, чи дозволити це. Звичайно, ви надасте дозвіл на той самий новий текстовий процесор, який ви тільки що встановили, але якщо запит вийшов із синього боку, відмовляйте!

Trend Micro Antivirus + Security та Avast Internet Security є одними з інших продуктів, які обробляють програму викупу, запобігаючи несанкціонованій модифікації файлів. Однак вони не перешкоджають доступу лише для читання, як це робить Панда.

У царині інструментів, спеціально розроблених для боротьби зі зловмисними програмами, майже всі використовують виявлення на основі поведінки. Bitdefender Anti-Ransomware - виняток; вона працює, підриваючи власні методи викупу, щоб уникнути подвійного шифрування, "вакцинуючи" систему, так що програмне забезпечення вважає, що воно вже зробило свою роботу.

Check Point ZoneAlarm Anti-Ransomware доповнює виявлення на основі поведінки із системою для відновлення будь-яких файлів, які, можливо, були зашифровані перед виявленням. В процесі тестування вона зробила ідеальну роботу, навіть усунувши розсіяні нотатки про викуп.

За допомогою Acronis Ransomware Protection ви отримуєте 5 Гб хмарного сховища для ваших чутливих файлів. Якщо вимога програмного забезпечення шифрує файл або два до виявлення, Acronis просто відновлює його із захищеної резервної копії. Якщо 5 Гб виявиться недостатньою, ви завжди можете перейти на службу резервного копіювання компанії Acronis True Image, яка, природно, включає в себе компонент антивикупної програми.

Trend Micro RansomBuster вийшов назустріч, бореться з викупом на декількох фронтах. Її Folder Shield блокує модифікацію чутливих файлів, він використовує виявлення на основі поведінки, а при необхідності відновлює файли з безпечного сховища. Однак, коли я вимкнув Folder Shield для тестування, виявлення на основі поведінки пропустило кілька зразків.

Підвіски та ремінь

Як випливає з назви, RansomFree є безкоштовним, і коли ми тестували його з реальним, неприємним викупним програмним забезпеченням, воно послужило yeoman. Це далеко не універсальне рішення, але воно є вагомим доповненням до вашої утиліти захисту від шкідливих програм загального призначення. Я встановив його на свій основний виробничий ПК, і я б запропонував вам розглянути можливість додавання його чи іншої безкоштовної утиліти захисту від виграшного програмного забезпечення, щоб доповнити ваш повномасштабний антивірусний захист.

Check Point ZoneAlarm Anti-Ransomware - це наш вибір редакторів для захисту, пов’язаної з вимогами. Хоча це не безкоштовно, це також не дорого. Він захищав від усіх наших зразків програмного забезпечення та відновлював файли за необхідності, не обробляючи файли приманки по всій системі.