Огляд та оцінка рейтингового окупатора Cybersight

Захист від викупу

Коли RansomStopper виявляє атаку викупного програмного забезпечення, він припиняє правопорушний процес і спливає попередження в області сповіщень. Натиснувши на попередження, ви зможете побачити, який файл спричинив проблему. Існує можливість видалити програми зі списку заблокованих процесів, а також попередження про те, що робити це погана ідея.

Очікування виявлення поведінки програмного забезпечення іноді може означати, що програмне забезпечення для шифрування зашифровує кілька файлів до завершення. Коли я тестував Malwarebytes, він втратив декілька файлів таким чином. Check Point ZoneAlarm Anti-Ransomware активно відновлює будь-які зашифровані файли. У моєму тестуванні це робилося для кожного зразка викупної програми. Однак RansomStopper зупинив ті самі зразки, не допускаючи шифрування будь-яких файлів.

Для швидкої перевірки санітарності я запустив просту підроблену програму викупу, яку я написав сам. Все, що потрібно зробити, це шукати текстові файли в папці «Документи» та під ними та шифрувати їх. Він використовує простий, оборотний шифр, тому другий запуск відновлює файли. RansomStopper зловив це і завадив його шикарно. Все йде нормально.

Обережно, Live Ransomware

Єдиний вірний спосіб перевірити захист від виграшного програмного забезпечення, який базується на поведінці, - це використання живого програмного забезпечення. Я роблю це дуже обережно, ізолюючи свою тестову систему віртуальної машини від будь-яких спільних папок та від Інтернету.

Цей тест може бути загрозливим, якщо антивізійний продукт не виявить, але мій тест RansomStopper пройшов без проблем. Як і ZoneAlarm та Malwarebytes, RansomStopper спіймав усі зразки, і я не знайшов жодного файлу, зашифрованого до того, як виявлено поведінкове виявлення. Cybereason RansomFree зробив досить добре, але його пропустив.

Я також тестую, використовуючи RanSim KnowBe4, утиліту, яка імітує 10 типів атаки, що вимагається. Успіх у цьому тесті - корисна інформація, але невдача може просто означати, що виявлення на основі поведінки правильно визначило, що моделювання не є справжнім викуповим програмним забезпеченням. Як і RansomFree, RansomStopper ігнорував моделювання.

Вирішено небезпеку завантажувального часу

Утримання під радарами - велика справа для викупу. Коли це можливо, він робить свої брудні вчинки мовчки, лише висуваючись із вимогою викупу після шифрування ваших файлів. Наявність привілеїв адміністратора полегшує роботу ransomware, але для досягнення цього пункту, як правило, потрібен дозвіл користувача. Існують обхідні шляхи для отримання цих привілеїв мовчки. Сюди можна віднести організацію підключення до процесу Winlogon під час завантаження або встановити заплановане завдання на час завантаження. Зазвичай програмне забезпечення, що вимагає, просто організовує запуск під час завантаження, а потім змушує перезавантажити, не виконуючи жодних завдань шифрування.

Під час попереднього тестування я виявив, що програмне забезпечення, що вимагає захисту, може зашифрувати файли під час завантаження, перш ніж RansomStopper запустить. Моя власна програма підробки шифрувала цей подвиг. Він зашифрував усі текстові файли в папці «Документи» та нижче, включаючи текстові файли приманки RansomStopper. (Так, ці файли знаходяться в папці, яку активно приховує RansomStopper, але у мене є свої методи…) Також він пропустив зразок реального програмного забезпечення, який я запустив при запуску.

Дизайнери CyberSight протестували ряд рішень цієї проблеми та випустили нову версію, яка випереджає завантажувальну програму для завантаження. Я перевірив це; вона працює, видаляючи одну пляму в результатах тестування RansomStopper, що тепер є стерлінговим.

RansomFree працює як сервіс, тому він активний перед будь-яким регулярним процесом. Коли я провів те саме тестування, встановивши реальний зразок програмного забезпечення для запуску при запуску, RansomFree також його спіймав. Malwarebytes також пройшли цей тест. RansomBuster виявив атаку під час завантаження та відновив уражені файли.

Для подальшого вивчення цієї проблеми я отримав зразок викупного програмного забезпечення Petya, який спричинив неприємності на початку цього року. Цей конкретний штам руйнує систему, а потім моделює час завантаження ЧКДСК. Насправді це шифрування вашого жорсткого диска. Зловмисні програми, RansomFree та RansomBuster не змогли запобігти цій атаці. RansomStopper зловив його до того, як це могло спричинити крах системи - вражаюче! ZoneAlarm також запобігла атаці Петя. Щоб бути справедливим до інших, цей не є типовим програмою шифрування файлів. Швидше він блокує всю систему, шифруючи жорсткий диск.

Запитуючи мої контакти, я дізнався, що атаки викупових програм під час завантаження, включаючи Petya, стають все рідше. Тим не менш, я додав цей тест до свого репертуару.

Інші методики

Виявлення на основі поведінки при належному впровадженні - це відмінний спосіб боротьби з викуповим програмним забезпеченням. Однак це не єдиний спосіб. Тенденція Micro RansomBuster та Bitdefender Antivirus Plus є одними з тих, хто фольгує викупне програмне забезпечення, контролюючи доступ до файлів. Вони заважають ненадійним програмам вносити будь-які зміни у файли в захищених папках. Якщо ненадійна програма намагається змінити ваші файли, ви отримаєте сповіщення. Як правило, ви отримуєте можливість додати невідому програму до списку довіри. Це може бути корисно, якщо заблокована програма була вашим новим текстовим чи фоторедактором. Panda Internet Security іде ще далі, не даючи ненадійним програмам навіть читати дані із захищених файлів.

Шахраї, які вимагають викуп, повинні подбати про те, щоб вони змогли розшифрувати файли, коли жертва заплатить. Шифрування файлів не один раз може заважати відновленню, тому більшість включає маркер якогось типу, щоб запобігти повторній атаці. Bitdefender Anti-Ransomware використовує цю техніку для того, щоб обдурити конкретні сім’ї викупників, думаючи, що вони вже напали на вас. Однак зауважте, що ця методика не може нічого змінити щодо нових типів викупних програм.

Коли Webroot SecureAnywhere AntiVirus стикається з невідомим процесом, він починає вести журнал усієї діяльності цим процесом та надсилає дані в хмару для аналізу. Якщо процес виявляється зловмисним програмним забезпеченням, Webroot скасовує все, що робив, навіть відкочуючи активність викупу. ZoneAlarm і RansomBuster мають свої методи відновлення файлів. Коли компонент антивирусного програмного забезпечення Acronis True Image знищує атаку, яка вимагається, він може відновити зашифровані файли з власної захищеної резервної копії.

Тепер Переможець

CyberSight RansomStopper виявив і заблокував усі мої зразки реального програмного забезпечення, не втрачаючи жодних файлів. Він також виявив мій простий симулятор викупу в ручному коді. І це заблокувало атаку Петя, де кілька конкуруючих продуктів провалилися.

Раніше RansomStopper виявляв вразливість до програмного забезпечення, яке працює лише під час завантаження, але мої джерела стверджують, що такий тип нападу стає менш поширеним, і CyberSight з тих пір вирішив цю проблему. Інші безкоштовні продукти мали свої проблеми. RansomFree пропустив один зразок у реальному світі, а Malwarebytes дозволив іншому зразку незворотно зашифрувати кілька файлів, перш ніж його виявилося. RansomBuster погіршився, втративши половину зразків повністю (хоча компонент Folder Shield захищав більшість файлів).

RansomStopper і Check Point ZoneAlarm Anti-Ransomware - це наш найкращий вибір спеціального захисту від викупу. ZoneAlarm не є безкоштовним, але за ціною $ 2, 99 на місяць це теж не дуже дорого. Тим не менш, RansomStopper управляє повним захистом безкоштовно.