Огляд та рейтинг виплат викупу Heilig

Звичайно, викуп програмного забезпечення - це головний біль для людей - хто хоче втратити весь свій прогрес у великому американському романі? Але уявіть, наскільки гірше це для підприємств, які можуть втратити 100 000 доларів на годину (або більше), коли викупне програмне забезпечення закриває виробництво. Системи безпеки бізнесу високого класу потребують потужного захисту від викупу, а інколи постачальники таких систем роблять цей захист доступним на особистому рівні. Так відбувається з безкоштовною програмою Heilig Defense RansomOff, яка використовує технологію, запозичену у висококласного Hielig Defense Correlate.

Аналогічно Cybereason RansomFree інкапсулює захист від вимушеного програмного забезпечення, знайдений у продуктах корпоративного рівня Cybreason. Однак там, де RansomFree, RansomStopper та більшість інших безкоштовних програм, пов’язаних з випуском програмного забезпечення, зводить налаштування та взаємодію користувачів до мінімуму, RansomOff включає в себе кілька режимів і модулів, які часом мене бентежать.

RansomOff - це невелике завантаження, яке встановлюється швидко. За замовчуванням вона працює в простому режимі, описаному як "захист від клопоту". Ви також можете вибрати Розширений режим, щоб "розкрити весь потенціал RansomOff". Я використовував обидва режими тестування, як ви побачите нижче.

Простий режим

У звичайному простому режимі RansomOff опікується бізнесом повністю у фоновому режимі, не повідомляючи про те, що він припиняє загрози, крім короткої анімації піктограми області сповіщень. При подвійному натисканні на піктограму відображається невелике вікно з кнопками для перегляду сповіщень та переходу в розширений режим.

У цьому режимі RansomOff скасовує програму, що вимагає сканування, але вона не намагається очистити. Ви завжди можете побачити, що це робиться, двічі клацнувши піктограму, а потім клацніть Переглянути сповіщення. Список сповіщень включає операції очищення, що очікують на розгляд, які можна запустити вручну.

Під час тестування він виявив та припинив усі мої зразки реального програмного забезпечення. Я спостерігав за анімованою іконою, перевіряв сповіщення та просив очищення в кожному випадку. Однак менше половини зразків викликали сповіщення про виявлення Ransomware. Для решти він повідомив про HIPS-Lite Notification, в якому розповів, що порушена програма намагалася налаштувати себе на запуск при запуску.

В якості перевірки здоровості я запустив кілька утиліт із колекції, яку я підтримую для помилково позитивного тестування, вибравши ті, функціональність яких вимагає їх запуску при запуску. У кожному випадку RansomOff усунув ці цілком законні програми. Я не спостерігав подібної поведінки в інших утилітах, що стосуються викупних програм. З огляду на те, що функція HPS-Lite усуває як законні, так і шкідливі програми, я навряд чи можу назвати це виявлення викупних програм.

Розширений режим

Для подальшого дослідження я перевів RansomOff в розширений режим і повторив тест. Поведінка програми сильно відрізняється в цьому режимі. Виявивши викупне програмне забезпечення, він переймає екран із неможливим ігноруванням попередження, запитуючи вашого дозволу на вирішення проблеми. Ви можете натиснути для отримання більш детальної інформації, перш ніж приймати рішення. Якщо він виявить зміни послідовності запуску або інші підозрілі дії, він спливає менш жорстке повідомлення HIPS-Lite і запитує, дозволити чи заблокувати зміни.

Я знову пробіг зразки, вибираючи Блок за будь-яких попереджень HIPS-Lite. Результати нагадували те, що я бачив у простому режимі, за одним яскравим винятком. Можливо, через затримку, пов’язану з відображенням свого повідомлення, RansomOff дозволив одному зразку зашифрувати файли в папці "Документи", перш ніж витерти його. Я спробував це кілька разів, на випадок, якщо це була гриль; це не відбувалося кожного разу, але це було безумовно повторюваним.

Далі я повторно спробував зразки, які викликали попередження HIPS-Lite, вибравши Дозволити цей час. Це було лихом. Якщо сказати RansomOff, щоб дозволити модифікацію запуску, це також призвело до припинення моніторингу активності викупу. "Ми бачимо, що саме в цей момент процес було визнано, що він робить щось, і користувач зробив вибір так чи інакше", - пояснив мій контакт у Heilig Defense. "Зрештою, користувач повинен бути розумнішим за програмне забезпечення або, принаймні, змушує їх подумати трохи більше, перш ніж це дозволити".

Я не можу погодитися. На мою думку, безпечне програмне забезпечення, яке ставить критичні рішення в руки пересічного користувача, є помилкою. Це схоже на стару модель особистого брандмауера, яка змусила користувача відповідати за всі рішення щодо того, чи потрібно дозволити кожній програмі отримати доступ до мережі. Інші інструменти захисту від вимога програмного забезпечення роблять цю роботу без залучення рішень користувачів.

Вирішений отримати чітке уявлення про можливості програми, я вимкнув функцію HIPS-Lite і повторив тестування ще раз. Цього разу продукт виявив та заблокував поведінку, що вимагає викупу, у всіх зразках, що є дуже задовільним результатом. Однак одному клопітному зразку все ж вдалося зашифрувати файли, перш ніж RansomOff ударив його.

Подальше тестування

Я час від часу стикався з програмами безпеки, які виходять з ладу при запуску програмного забезпечення. Прошу сказати, що RansomOff - не одна з таких. Коли я вручну встановив кілька зразків для запуску при запуску Windows, це ефективно їх заблокувало.

Для дуже простої перевірки рівня безпеки я написав невелику програму, яка шифрує всі текстові файли в папці «Документи» за допомогою оборотного шифрування XOR. Багато утиліти захисту від програмного забезпечення не виявляють цю програму, тому що жоден власний програмний засіб від шифрування не зашифровується таким простим розумом. Але RansomOff це зловив.

Я також завантажив симулятор викупу RanSim від KnowBe4. Цей інструмент імітує 10 прийомів, які використовуються фактичними викупними програмами, а також дві нешкідливі дії шифрування. У простому режимі я навіть не міг його встановити, оскільки RansomOff видалив його. Повторивши спробу в розширеному режимі з вимкненим HIPS-Lite, мені вдалося встановити успішну установку.

Поки утиліта тестувала свій сценарій, я відповів на 11 попереджень про виявлення RansomOff. На завершення випробування RanSim повідомив про успішну профілактику всіх 10 модельованих операцій з вибухових програм разом із одним із нешкідливих сценаріїв. Acronis Ransomware Protection набрав точно так само. Блокування всіх 10 модельованих атак - великий плюс; один хибний позитив - це невеликий мінус.

Особливості захисту фантазії від компенсації

Я звик до настільки ненав’язливих засобів захисту від компенсаційного захисту, що вони ледве не мають головного вікна, а іноді взагалі не мають налаштувань конфігурації. RansomOff в розширеному режимі - це зовсім відхід, з декількома фантазійними функціями, які я міг лише зрозуміти, заглибившись у документацію.

Блокування програми

Блокування програм - це система захисту на основі білого списку, відключена за замовчуванням, з кількома режимами роботи. У суворому режимі "Усі процеси" вам доведеться добре виконати кожен процес, який запускається, якщо його вже не було вилучено. Послабившись до нового режиму процесу, RansomOff просить підтвердити лише перший раз, коли процес запускається під час сеансу Windows. Ви можете скоротити спливаючі вікна, вилучивши процеси Windows, цифрові підписані програмні файли або обидва.

Я увімкнув блокування додатків у режимі "Усі процеси" та запустив Chrome. Мені довелося затвердити п'ять різних процесів, але при наступному запуску ці процеси були звільнені. Користувачі, які знають техніку, можуть налаштувати блокування додатків, щоб автоматично активуватись, коли заданий процес завантажується, та необов'язково відключити, коли цей процес закриється. Заздалегідь встановлене налаштування Web Lockdown налаштовує програму Lockdown для активації, коли активне вікно браузера, як і те, як працює VoodooSoft VoodooShield.

Резервне копіювання і відновлення

Функція "Резервне копіювання та відновлення", включена за замовчуванням, має на меті створити резервну копію загрозливих файлів і, якщо необхідно, відновити їх після запущеної програми. Згідно з документацією, "RansomOff зробить копію файлу на основі певних дій та збереже його у захищеному просторі". Він пропонує кілька методів відновлення, серед яких вибирають процес відновлення внесених змін та шукають файли, які потребують відновлення, а також опцію для відновлення файлів, які RansomOff можуть видалити помилково. Під час тестування я ніколи не бачив цієї функції в дії; це не допомогло в тому, який є один набридливий зразок викупу, який зашифрував мої документи.

Функція відновлення в Check Point ZoneAlarm Anti-Ransomware виявилася і простішою, і ефективнішою. У кожному випадку він пропонував відновити будь-які зашифровані файли, і це зробив успішно. Єдина його помилка при тестуванні стосувалась помилки в повідомленні один раз, коли вона фактично досягла успіху.

Acronis Ransomware Protection застосовує інший підхід до резервного копіювання. Він створює зашифровану хмарну резервну копію файлів у захищених папках, вартістю до 5 Гб, і відновлює всі файли, пошкоджені вимогами після усунення загрози.

Захист папок

Натискання папок відкриває захист на основі дозволу RansomOff для вказаних вами папок. Як і Bitdefender Antivirus Plus, Trend Micro та деякі інші, він може запобігти несанкціонованим програмам змінювати файли, але він пропонує кілька інших варіантів. Ви можете заборонити йому доступ до файлів у захищеній папці, приховати існування цих файлів або заблокувати запуск виконуваних файлів із захищеного місця. Останнє корисне для загроз, таких як TeslaCrypt, який видаляє виконуваний файл з випадковим ім’ям у папку «Документи» та запускає його.

Заплутано ви керуєте захистом, додаючи папки до одного з п’яти різних списків: Заборонити, Обманювати, Сховати, Лише для читання та Без виконання. Папка одночасно може займати лише один із цих списків. Для початку я додав папку «Документи» до списку «Заборонити». Це повинно позбавити доступу до читання і запису до захищених файлів, як аналогічна функція Panda Internet Security. Однак це не зробило нічого, щоб завадити крихітному редактору, який я сам писав, читати та змінювати файли.

Виявляється, я не приділяв належної уваги. На екрані чітко видно "Захист не ввімкнено" під моєю вибраною папкою. Ви також повинні додати принаймні одну звільнену програму до того, як RansomOff почне захист. Я додав Windows Explorer до списку звільнень, щоб увімкнути захист. Після цього папка "Документи" навіть не відображалася в діалоговому діалоговому вікні відкритого мого редактора.

Я вибрав Захист від змін і перемістив свою захищену папку у список "Лише читання". Цього разу мій крихітний редактор успішно завантажив текстовий файл із захищеної папки, але спроба зберегти модифіковану версію отримала повідомлення із записом "Помилка запису потоку". Це невтішно. Trend Micro RansomBuster та декілька інших подібних програм повідомляють про спробу доступу та надають вам шанс додати список програм. Щойно ви встановили новий документ або редактор фотографій, ви можете легко передати його в цей список.

У процесі випробування мого крихітного редактора я виявив у папці «Документи» багато файлів, які просто не з’явилися в Провіднику Windows. Дійсно, як і RansomFree та CyberSight RansomStopper, RansomOff використовує файли "наживки", щоб допомогти в їх виявленні. Це, як правило, приховує їх від зору, як RansomStopper, але вони виявляються в деяких ситуаціях.

Налаштування потреб

Більшість утилітів, що захищаються від програмного забезпечення, є надто оптимізованими, роблячи свою роботу спокійно, без необхідності взаємодії або налаштування користувачів. Встановлення такого інструменту поряд із наявним антивірусним захистом дає простий вторинний рівень захисту. RansomOff набагато складніший, ніж будь-який з його конкурентів, з розширеними налаштуваннями та функціями, які викликають здивування без ретельного зчитування документів. Під час тестування він виявив усі зразки програмного забезпечення, але нехай один з них шифрує файли, незважаючи на виявлення.

Технікам це може сподобатися, але в даний час це занадто складно для пересічного користувача. З боку, розробники швидко вирішують будь-які проблеми, навіть оновлюючи програму, щоб виправити пару проблем під час мого огляду. Я з нетерпінням чекаю версії, яка не вимагає стільки середнього користувача.

Завдяки більш простому інтерфейсу та відмінному відновленню, Check Point ZoneAlarm Anti-Ransomware - вибір редакторів для захисту від викупу. Якщо плата за ще один інструмент безпеки - це не те, що ви мали на увазі, CyberSight RansomStopper безкоштовний, і це також вибір редакторів у цій галузі.