Зміст:
- Початок роботи з RansomBuster
- Тестування екрана папок
- Тестування на основі поведінки виявлення
- Змішані результати
Відео: Trend Micro Ransom Buster Tested! (Жовтень 2024)
Нещодавній спалах викупного програмного забезпечення BadRabbit здебільшого постраждав від людей у та поблизу Росії, не стільки в США, але не дозволяйте це змусити вас поступатись. Хто знає, куди потрапить наступна атака? Вам потрібен захист від викупного програмного забезпечення, і вашого антивіруса може бути недостатньо. Trend Micro RansomBuster пропонує безліч шарів захисту, і це безкоштовно як для особистого, так і для ділового використання. Однак наше тестування показує, що шари не всі однаково ефективні.
RansomBuster доступний як безкоштовне завантаження, він також є компонентом антивірусних і безпекових програм Trend Micro. Так само, окремий Cybereason RansomFree також є складовою повномасштабного пакету безпеки Cybereason.
Як і RansomFree та Malwarebytes Anti-Ransomware Beta - яка також є безкоштовною - RansomBuster призначена для використання разом із вашим стандартним антивірусом. Обидва ці продукти зосереджуються на виявленні програм, що вимагають викупу, на основі його поведінки; Як я поясню, RansomFree розміщує файли приманки в стратегічних місцях, щоб допомогти з її виявленням. RansomBuster також включає виявлення на основі поведінки, але це лише одна з його навичок.
Якщо RansomBuster виявить навіть слабку можливість активних програм, що вимагають вибору, це робить безпечну резервну копію файлів, на які вони постраждали. Після того, як можливість стає визначеною, вона скасовує програмне забезпечення та використовує резервну копію для відновлення будь-яких файлів, порушених під час її аналізу. Check Point ZoneAlarm Anti-Ransomware відновлює пошкоджені файли аналогічно.
Один дуже простий спосіб уберегти викупне програмне забезпечення від шифрування файлів у папці «Документи» (або в інших чутливих папках) - це просто заборонити будь-які зміни несанкціонованими програмами. Ви користуєтесь надійним текстовим процесором або редактором зображень так само, як завжди, але компонент Folder Shield перешкоджає доступу будь-якої невідомої програми. Bitdefender Antivirus Plus включає подібну функцію, тоді як Panda Internet Security навіть забороняє невідомим читати ваші файли.
Початок роботи з RansomBuster
Установка швидка і проста. Після встановлення програма запропонує вам вибрати, які папки ви хочете захистити. Папка «Документи» за замовчуванням попередньо обрана, але не надто диво додаючи більше папок. Ви швидко дізнаєтесь, що це безкоштовне видання може захистити лише дві папки. Спочатку це здавалося великим обмеженням. Пізніше я зрозумів, що просто вибір папки C: \ Users повинен захищати більшість важливих документів.
Вибір цих папок - єдиний варіант конфігурації; це дуже проста, зосереджена програма. Після того, як ви зробили цей вибір, RansomBuster просто працює у фоновому режимі, не вимагаючи подальшої взаємодії, якщо він не стикається з атакою.
Тестування екрана папок
Для швидкої перевірки розумності я запустив крихітний текстовий редактор, який я написав сам. Ця програма ніде не існує, але на моєму тестовому ПК, тому вона безумовно кваліфікується як невідома програма. Я намагався змінити деякі текстові файли в папці Документи. RansomBuster цілком належним чином повідомив про несанкціонований доступ, даючи мені можливість заблокувати цей доступ або додати програму до списку надійних. Через короткий час він автоматично обрав варіант блоку. Те ж саме сталося, коли я спробував просту програму, кодовану вручну, що імітує шифрування поведінки викупників.
Далі я вивів великі гармати - шість зразків реального програмного забезпечення. Спочатку все виглядало добре. Folder Shield заблокував п’ять зразків, тоді як виявлення на основі поведінки застало шосте, перш ніж воно могло навіть викликати реакцію з Folder Shield. Я зауважував, що якщо ви випадково вирішите довіряти програмі, яка виявляється програмою для викупу, система виявлення на основі поведінки також її ігнорує. Уважно читайте ці сповіщення та довіряйте лише програмам, у яких ви впевнені.
При ближчому погляді виявилося, що речі не були цілком звичними. Один із зразків програмного забезпечення, зашифрований, зашифрував файл у папці на робочому столі, перш ніж потрапити в папку Shield, оскільки робочий стіл не був захищений. Ще один зашифрований з десяток файлів у папці Робочий стіл і нижче, а в декількох із них випав записки про викуп. Я зауважував, що файли, на які впливають, більшість вважали б менш важливими. Вони включали ярлики, довідкові файли, файли журналів та пару файлів CSV. Мій контакт у Trend Micro підтвердив, що ці типи не належать до майже 40 типів файлів, які відстежує система виявлення на основі поведінки.
Тестування на основі поведінки виявлення
Folder Shield може захищати вміст лише двох папок, але система виявлення на основі поведінки має на меті позначити поведінку, схожу на викуп, незалежно від того, де це відбувається. Для тесту, характерного для виявлення на основі поведінки, я відключив Folder Shield і повторив тести реального програмного забезпечення. Результати були не дуже.
RansomBuster зробив три з шести зразків. Він назвав одного з них підозрілим і припинив його, перш ніж він міг вчинити будь-які нечесні дії. Інші два ідентифікували як програмне забезпечення для викупу, перераховували зашифровані файли та повідомляли про успішне відновлення.
Однак інші три зразки розгулювали, шифруючи файли праворуч і ліворуч і демонструючи свої нотатки про викуп, все без письма від RansomBuster. Протестований із цими ж зразками, ZoneAlarm виявив усі шість та відновив усі файли. Єдина помилка ZoneAlarm? В одному випадку він повідомляв, що не вдалося відновити всі файли, якщо насправді він не вийшов з ладу.
Захист від вимушеного програмного забезпечення, вбудований у програму Acronis True Image, виявив усі, крім одного зразків, відновивши будь-які пошкоджені файли зі свого безпечного онлайн-резервного копіювання. RansomFree також виявив усіх, крім одного. Malwarebytes виявив їх усіх, але в одному випадку викупники зашифрували кілька файлів, перш ніж їх нейтралізувати.
Змішані результати
Я ціную той факт, що Trend Micro пропонує RansomBuster безкоштовно. Я просто хочу, щоб це працювало краще. Folder Shield є ефективним, але при тестуванні виявлення на основі поведінки не вдалося. Якщо ви великий фанат Trend Micro, ви можете це врахувати. Але якщо ви великий фанат Trend Micro, ви, мабуть, вже захистили цей антивірус або пакет безпеки.
Наш вибір редакторів для захисту від компенсації - ZoneAlarm Anti-Ransomware. Це не безкоштовно, але при $ 2, 99 на місяць він не зламає банк, і він успішно захищався від усіх наших реальних зразків викупних програм. Безкоштовна Malwarebytes Anti-Ransomware Beta також виявила всі зразки, хоча вона втратила кілька файлів для шифрування, а Cybereason RansomFree успішно виявив і заблокував усі, крім одного. Якщо ви хочете покращити захист від вимушеного програмного забезпечення за межами того, що вбудовано у ваш антивірус, одна з цих утиліт - кращий вибір.
