Зміст:
- Стилі захисту від відшкодування
- Початок роботи з Malwarebytes
- Тестування захисту від сканування
- Модельований викуп
- Додайте до свого Арсеналу
Відео: Реклама подобрана на основе следующей информации: (Жовтень 2024)
Ваша повнофункціональна антивірусна утиліта, ймовірно, робить дуже непогану роботу щодо збереження вашого ПК зловмисного програмного забезпечення. Однак ніхто не є ідеальним, тож час від часу абсолютно новий вірус або троян може пройти захист у режимі реального часу. Вже тоді антивірусне оновлення зазвичай очищає ситуацію надовго. Але якщо загроза, яка проскочила, шифрувала викупне програмне забезпечення, ви перебуваєте в біді. Звичайно, оновлений антивірус може видалити порушувальну програму, але шкода вже зроблена. Ваші файли залишаються зашифрованими та недоступними. Програма Malwarebytes Anti-Ransomware Beta спрямована на те, щоб врятувати цей біль, вловлюючи будь-яку викупну програму, яку ваш антивірус пропускає.
Не соромтеся через "бета" в назві. Цей безкоштовний продукт постійно знаходиться в бета-тесті, отримуючи всю найновішу технологію боротьби з викупом від Malwarebytes. Пізніше, коли будь-які шорсткі плями згладжені, компанія переносить цю технологію в комерційний Malwarebytes Anti-Ransomware for Business. Це задовольняє ІТ-команду, яка, як правило, надає перевагу трохи старшим технологіям перед передовій.
Звичайно, ви отримуєте захист від компенсації як частина повномасштабної антивірусної заміни компанії, Malwarebytes 3.0 Premium. Автономний засіб захисту від вимушеного програмного забезпечення працює поряд з вашим існуючим антивірусом, працює над тим, щоб знайти все, що пропадає головний антивірус.
Стилі захисту від відшкодування
Існує цілий ряд різних способів захисту продуктів реалізувати захист від вимушеного програмного забезпечення. Один із способів включає контроль доступу до захищених місць, захищених типів файлів або обох. Відомі хороші програми, такі як компоненти Windows та програми Office отримують зелене світло. Коли невідомий додаток намагається отримати доступ, продукт безпеки попереджає користувача про можливу атаку викупного програмного забезпечення. Якщо це лише новий редактор документів, користувач може додати його в білий список одним клацанням; якщо це викупне програмне забезпечення, ще одним клацанням буде відправлено його на карантин.
Деякі продукти просто запобігають змінам захищених файлів. Інші, включаючи IObit Malware Fighter 5 Pro та Panda Internet Security, навіть запобігають несанкціонованому читанню даних із захищених файлів. Цей тип захисту також захищає трояни, які крадуть дані, від вилучення ваших приватних даних.
Можливо, що складний процес викупу може зробити свої брудні вчинки, підриваючи білу програму, або знайти якийсь інший спосіб подолати обмеження доступу. Навіть якщо це сталося, продукт, який виявляє викупне програмне забезпечення на основі своєї поведінки, все одно може зірвати напад. Ось так працює Malwarebytes Anti-Ransomware. Аналогічний підхід застосовує Cybereason RansomFree.
Ви також знайдете захисні шари, захищені від випуску програмного забезпечення, у різних стандартних антивірусних продуктах. Bitdefender і Trend Micro включають такий компонент. Виявлення зловмисного програмного забезпечення Webroot SecureAnywhere AntiVirus повністю базується на поведінці, і система ведення журналів та відкатів цього інструменту для невідомих програм може насправді змінити атаку викупу. Компанія попереджає, що доступне місце для ведення журналів та відкатів є обмеженим.
Початок роботи з Malwarebytes
Malwarebytes Anti-Ransomware - це крихітна, легка програма, яка встановлюється миттєво. Просте головне вікно містить лише три вкладки: приладова панель, карантин та виключення. Приладова панель просто підтверджує, що захист активна, і вона пропонує посилання для вимкнення та ввімкнення захисту. У карантині ви нічого не побачите, якщо продукт не зірве фактичну атаку викупних програм.
Чому ви хочете виключити файл із виявлення? Ну, це бета-продукт, і можливо, що законний продукт шифрування може потрапити в його мережу. Якщо ви зіткнулися з таким хибним позитивом, просто врятуйте його від карантину та поставте його до списку виключень.
Тестування захисту від сканування
Тестувати захист від програмного забезпечення, що захищається, важче, ніж тестувати захист від шкідливих програм загального призначення. Самі злісні програми іноді стежать за ознаками тестування і лежать внизу. З іншого боку, якщо ви не будете обережні з реальними зразками викупових програм, вони можуть уникнути своєї в'язниці на віртуальній машині і нанести реальний збиток.
Такі продукти, як Panda Internet Security, які працюють, контролюючи доступ до файлів, легко перевірити. У мене є крихітні програми тестування, які здійснюють цей тип захисту.
Однак, маючи в своєму розпорядженні захист, орієнтований на поведінку, іноді мій єдиний прийом - використовувати реальне програмне забезпечення для викупу в ретельно контрольованих умовах. Моє тестування викупних програм все ще розвивається. В даний час у мене є три зразки реального світу, погрози, які я зібрав сам з небезпечних веб-сайтів. Malwarebytes добре справлявся з моїм тестом.
Перший зразок викупового посуду - примхливий. Часто він просто працює як фоновий процес, нічого не роблячи. Без поведінки не може бути виявлення на основі поведінки, тому Malwarebytes отримує пропуск на цей.
Malwarebytes зловив другу червону руку, поставив її під карантин і попросив перезавантажити для завершення її очищення. Після перезавантаження я помітив, що під час аналізу поведінки Malwarebytes програмою, призначеною для викупу, вдалося зашифрувати кілька файлів. Мені це здається природним наслідком виявлення на основі поведінки. Без поведінки програмного забезпечення, виявлення не існує, правда? Однак мій контакт у байтах Malware говорить, що вони "наближаються до вирішення цього питання".
Третій зразок також став здобиччю Malwarebytes. Після перезавантаження я на мить подумав, що програмне забезпечення для викупу все ще працює, оскільки воно відображає свою вимогу на викуп у вигляді текстового файлу, HTML-документа та зображення PNG. Однак виявляється, що програмне забезпечення, що вимагає, просто перекинуло ці файли в папку запуску, щоб вони відкрилися при запуску. Не було й сліду від самого програми зловмисного програмного забезпечення. Тут знову ж таки зловмисне програмне забезпечення зашифрувало кілька файлів, перш ніж почався захист.
Модельований викуп
Єдиний цілком надійний спосіб перевірити виявлення викупних програм на основі поведінки - це використання реального програмного забезпечення. Будь-яке моделювання, яке б повністю дублювало діяльність шифрувальної загрози, що вимагає викуп, само по собі було б шкідливим. Однак це не є підставою для того, щоб повністю списати тестування з імітацією викупного програмного забезпечення.
Компанія KnowBe4, навчальна компанія з безпеки, випустила безкоштовний інструмент під назвою RanSim, призначений для перевірки вашого захисту від випробувань. Він запускає модулі, які реалізують десять загальних методів шифрування викупних програм, а також дві подібні, але нешкідливі методи. Теоретично найкращий продукт заблокує всі методи викупу та залишить нешкідливих у спокої.
Коли я протестував активний захист від випробувань, вбудований в Acronis True Image 2017 New Generation, він заблокував усі, крім однієї з імітованих атак. Звичайно, повна резервна копія, броньована проти несанкціонованих змін, є чудовою підмогою у відновленні від атаки зловмисних програм.
RansomFree не виявив жодної з імітованих атак. Його дизайнери зазначили, що модельовані атаки впливають лише на файли на кілька рівнів папки нижче папки «Документи», ніде більше. Жоден реальний програмний викуп не поводиться так.
Що стосується Malwarebytes, то він активно захищався від восьми з 10 модельованих атак, але пропустив дві. Через проблеми у використанні модельованого програмного забезпечення, що вважається плюсом, я вважаю плюсом, коли продукт виявляє модулі RanSim, але я вважаю, що збій у RanSim є неінформативним, а не негативним.
Додайте до свого Арсеналу
Malwarebytes Anti-Ransomware Beta вдало пройшов моє просте тестування. Звичайно, деякі викупники зашифрували декілька файлів, але без захисту це зробило б набагато гірше. Захист від компенсації - це обов'язково питання шарів. Що один компонент пропустив, інший може спіймати. Я додав Malwarebytes до арсеналу утиліт, що захищають мою основну виробничу систему, а також Norton Internet Security та Cybereason RansomFree.
