Cybereason gratis lösning och betyg

Om ditt antivirus misslyckas med att fånga en datastjällande trojan kan du få ett nytt kreditkort. Om ett verkligt virus går förbi sina försvar, bör ett aggressivt saneringsverktyg ta hand om problemet. Men om ditt antivirus missar en ransomware-attack kan du tappa alla dina dokument eller till och med tappa åtkomsten till din dator. Det är där Cybereasons RansomFree kommer in. Detta gratis, dedikerade verktyg för ransomware-skydd fungerar tillsammans med din befintliga antivirusprogram. Den fokuserar 100 procent på att upptäcka och förebygga angripelse av ransomware genom att leta efter beteenden som är vanliga för dessa attacker. När du testar, med otäcka, verkliga program från skadlig programvara, får det jobbet gjort.

Medlemmar i Cybereason-teamet fick sin utbildning i elitenhet 8200 i det israeliska underrättelseskorpset, ett team som ägnas åt cybersäkerhet. De klipper tänderna på cyberattacker på militär nivå, och de levererar nu avancerade försvar till stora företag inklusive SoftBank, Vizio och Lockheed Martin. När ransomware-epidemin började sätta fler konsumenter i riskzonen, beslutade företagets VD att extrahera ransomware-komponenten från hela Cybereason-säkerhetssviten och ge det ransomware-skyddet till konsumenterna gratis. Småföretag kan också använda det; större företag bör överväga den fullskaliga Cybereason-tjänsten.

Omedelbart efter installationen börjar RansomFree skydda ditt system mot ransomware. Det körs i bakgrunden och tittar på beteenden som är specifika för ransomware. Som en del av denna process skapar det "agn" -filer på primära platser som Desktop och mappen Dokument. Det finns inga antivirussignaturer; RansomFree förlitar sig på beteendebaserad upptäckt.

Attack of the Ransomware

RansomFree var bland de första ransomware-specifika säkerhetsverktygen som jag granskade förra året. På den tiden hade jag bara ett par verkliga prover, plus handmodifierade varianter av dem. Jag har nu ett halvdussin prov som täcker olika ransomware-familjer. RansomFree upptäckte och blockerade dem alla.

När den upptäcker en process som fungerar som ransomware avbryter RansomFree processen och visar en stor varning. Du klickar på Ja för att avsluta processen och rensa upp eventuella problem. Du kan också klicka på Nej, men det rekommenderar jag inte. Det finns en länk för att se alla filer som har skapats, modifierats eller raderats av den kränkande processen. När jag granskade denna information såg jag till exempel att en angripare skapade en körbar fil med ett slumpmässigt namn rätt i mappen Dokument och övergav kontrollen till det programmet. En annan raderade sin närvaro på disken efter att ha laddats in i minnet.

I vissa fall dök RansomFree upp två eller till och med tre gånger; Jag klickade alltid på Ja. Efter avslutad varnade den för att ransomware kan ha lämnat en lösenanteckning eller annan detritus som du måste rensa upp manuellt. Jag hittade faktiskt lösenanteckningar i ett par fall.

Jag har stött på ett par produkter som inte kunde förhindra en ransomware-attack som startades vid Windows start. IObit Advanced SystemCare Ultimate är ett exempel, liksom den gratis CyberSight RansomStopper. När jag konfigurerade ett ransomware-prov för att starta vid start, hade RansomFree inga problem att upptäcka och avsluta det.

Jag har till hands en liten, enkel ransomware-simulator, ett program jag själv skrev. Allt det är att hitta textfilerna i mappen Dokument och tillämpa XOR-kryptering på dem. Denna teknik vänder helt enkelt alla bitarna till noll och alla nollbitarna till en; tillämpar den en andra gång dekrypterar filen. Detta visade sig vara för enkla för RansomFree att märka, och det är faktiskt inte riktigt förstörande. Ganska många andra konkurrerande verktyg ignorerade min FakeCryptor, bland dem Acronis och CryptoDrop Anti-Ransomware.

Diskkryptering Ransomware

Den vanligaste typen av ransomware krypterar dina viktiga filer, men lämnar datorn fungerar. Det är perfekt för att offret behöver tillgång till internet och dator för att betala lösen. Det finns emellertid en annan, mindre vanlig typ som utför hela skivkryptering och effektivt murar enheten tills du betalar upp. Den ökända Petya ransomware är en sådan, och jag har lyckats snara ett Petya-prov.

Beteende-baserade verktyg för ransomware-skydd skyddar inte nödvändigtvis mot denna typ av attack. Av de fyra andra produkterna som jag testat sedan jag fick Petya-provet förhindrade Acronis och RansomStopper en Petya-attack, men Malwarebytes Anti-Ransomware Beta och CryptoDrop gjorde det inte.

Ett Cybereason-blogginlägg fick mig att tro att RansomFree kan stoppa Petya. Men när jag startade mitt prov fortsatte det att krascha systemet och kör en låtsas skivreparation på låg nivå vid omstart. I verkligheten var det att kryptera disken, inte reparera den. Det är värt att notera att diskkrypterande ransomware är mycket mindre vanligt än filkrypteringstypen, och att ditt antivirus troligtvis skulle fånga det innan det kan göra någon skada.

Simulerad Ransomware Conundrum

KnowBe4 är ett företag som är känt mer för sina antiphishingträning än för produkter, men det erbjuder gratis RanSim Ransomware Simulator. Utan att röra vid någon av dina egna värdefulla filer simulerar RanSim de tio vanligaste ransomware-teknikerna, liksom två oskadliga relaterade tekniker som ransomware-skydd inte bör blockera.

Jag installerade RanSim på testsystemet och körde testsekvenserna, med nedslående resultat. RansomFree avstod korrekt från att störa de två falskpositiva scenarierna, men det gjorde också ingenting för att blockera de 10 ransomware-scenarierna.

Efter lite grävning, huvudskrapning och konfiguration med både Cybereason och KnowBe4 kom jag till att förstå problemet. RanSim lägger sina testfiler i mappar i mappar, fyra nivåer under mappen Dokument. Kryptering av sådana filer utan att beröra det faktiska innehållet i Dokumentmappen är bara inte ett beteende som matchar någon verklig ransomware. Så RansomFree ignorerar det. Acronis blockerade alla 10 scenarier och Malwarebytes fick åtta. Andra utplånade hela testplattformen, vilket betyder att den inte kunde rapportera några resultat.

Andra platser

Ransomware är ett allvarligt problem, så det är inte förvånande att andra företag har utvecklat sina egna metoder för att bekämpa det. All upptäckt av skadlig programvara i Webroot SecureAnywhere AntiVirus är baserat på beteende, inte bara detektering av ransomware. Antiviruset torkar omedelbart bort alla processer som matchar en befintlig profil för beteende med skadlig kod. Om det inte är 100 procent klart att en misstänkt process är skadlig, tidskrifter Webroot sina lokala handlingar och virtualiserar alla icke-reversibla åtgärder, som att skicka information ut över internet. När den molnbaserade analysen senare identifierar den misstänkta processen som skadlig programvara använder den lokala klienten journaldata för att vända alla handlingar med den processen, inklusive att vända krypteringsåtgärder som utförs av ransomware.

Du måste köpa hela Panda Internet Security-sviten för att få ransomware-skydd från Panda; det fristående antiviruset inkluderar inte datasköldkomponenten. Data Shield syftar till att skydda dina värdefulla dokument mot all obehörig åtkomst, så ransomware kan inte kryptera dina filer och trojaner kan inte stjäla dina data. Om Panda upptäcker ett åtkomstförsök från något obehörigt program, frågar det dig om du vill tillåta det. Naturligtvis ger du tillstånd till den nya ordbehandlaren du just har installerat, men om begäran kommer ur det blåa, neka det!

Trend Micro Antivirus + Security och Avast Internet Security är bland de andra produkterna som folierar ransomware genom att förhindra obehörig filändring. De hindrar emellertid inte skrivskyddad åtkomst som Panda gör.

När det gäller verktyg som är specifikt utformade för att bekämpa skadlig programvara använder nästan alla beteendebaserad detektion. Bitdefender Anti-Ransomware är ett undantag; det fungerar genom att subvertera ransomwarens egna tekniker för att undvika dubbelkryptering, "vaccinera" systemet så att ransomware tror att det redan har gjort sitt jobb.

Check Point ZoneAlarm Anti-Ransomware kompletterar beteendebaserad upptäckt med ett system för att återställa alla filer som kan ha krypterats innan upptäckten startades. I testen gjorde det ett perfekt jobb, till och med eliminerade de spridda lösenanteckningarna.

Med Acronis Ransomware Protection får du 5 GB molnlagring för dina känsliga filer. Om ransomware krypterar en fil eller två innan detektering återställer Acronis helt enkelt från den skyddade säkerhetskopian. Om det visar sig vara otillräckligt med 5 GB kan du alltid uppgradera till företagets Acronis True Image-reservtjänst, som naturligtvis inkluderar komponenten mot ransomware.

Trend Micro RansomBuster går ut och kämpar mot ransomware på flera fronter. Dess mappsköld blockerar modifiering av känsliga filer, den använder beteendebaserad detektion och den återställer filer från säker lagring vid behov. Men när jag stängde av Folder Shield för testning missade den beteendebaserade upptäckten flera prover.

Hängslen och bältet

RansomFree är, som namnet antyder, gratis, och när vi testade det med verkliga, otäcka ransomware, gjorde det jätteservice. Det är inte på något sätt en universell lösning, men det är ett värdefullt tillskott till ditt allmänt användbara skyddsprogram för skadlig programvara. Jag har installerat den på min huvudsakliga produktions-PC och jag föreslår att du överväger att lägga till den eller ett annat gratis ransomware-skyddsverktyg för att komplettera ditt fullskaliga antivirusskydd.

Check Point ZoneAlarm Anti-Ransomware är vårt redaktörs val för ransomware-specifik säkerhet. Även om det inte är gratis, är det inte heller dyrt. Den skyddades mot alla våra ransomware-prover och återställde filer vid behov, utan att stänga betfiler runt systemet.