Innehållsförteckning:
Video: RansomStopper by CyberSight (Oktober 2024)
Ransomware-skydd
När RansomStopper upptäcker en ransomware-attack avslutar den den kränkande processen och dyker upp en varning i meddelandefältet. Om du klickar på varningen kan du se vilken fil som orsakade problemet. Det finns ett alternativ att ta bort program från listan över blockerade processer - tillsammans med en varning om att det är en dålig idé.
Att vänta på att upptäcka ransomware-beteende kan ibland innebära att ransomware krypterar några filer innan de avslutas. När jag testade Malwarebytes förlorade det några filer på detta sätt. Check Point ZoneAlarm Anti-Ransomware återställer aktivt alla krypterade filer. I min testning gjorde det det för varje prov på ransomware. RansomStopper stoppade dock samma prover utan att tillåta kryptering av några filer.
För en snabb sanitetskontroll lanserade jag ett enkelt falskt ransomware-program som jag skrev själv. Allt det gör är att leta efter textfiler i och under mappen Dokument och kryptera dem. Den använder ett enkelt, reversibelt chiffer, så att en andra körning återställer filerna. RansomStopper fångade den och förhindrade dess chikaner. Än så länge är allt bra.
Varning, Live Ransomware
Det enda säkra sättet att testa beteendebaserat ransomware-skydd är genom att använda live ransomware. Jag gör detta mycket försiktigt och isolerar mitt testsystem för virtuella maskiner från alla delade mappar och från internet.
Det här testet kan vara upprivande om anti-ransomware-produkten inte upptäcks, men mitt RansomStopper-test gick smidigt. Liksom ZoneAlarm och Malwarebytes, RansomStopper fångade alla proverna, och jag hittade inga filer krypterade innan beteendedetektering startade. Cybereason RansomFree gjorde ganska bra, men det missade en.
Jag testar också med KnowBe4s RanSim, ett verktyg som simulerar 10 typer av ransomware-attacker. Framgång med detta test är användbar information, men misslyckande kan helt enkelt innebära att den beteendebaserade upptäckten korrekt bestämde att simuleringarna inte är verkliga ransomware. Liksom RansomFree ignorerade RansomStopper simuleringarna.
Fara vid starttid har lösts
Att hålla sig under radaren är en stor sak för ransomware. När det är möjligt gör det sina smutsiga gärningar tyst, och kommer bara fram med sitt lösenbehov efter att dina filer har krypterats. Att ha administratörsrättigheter underlättar ransomwares jobb, men att komma till den punkten kräver vanligtvis tillstånd från användaren. Det finns lösningar för att få dessa privilegier tyst. Dessa inkluderar att arrangera till piggyback på Winlogon-processen vid starttid eller ställa in en schemalagd uppgift för starttid. Vanligtvis ordnar ransomware bara att starta vid start och tvingar sedan en omstart utan att utföra några krypteringsuppgifter.
I min tidigare testning fann jag att ransomware kunde kryptera filer vid starttid innan RansomStopper startar. Mitt eget falska krypteringsprogram lyckades med den bristen. Den krypterade alla textfiler i och under mappen Dokument, inklusive RansomStoppers bete-textfiler. (Ja, dessa filer finns i en mapp som RansomStopper döljer aktivt, men jag har mina metoder…) Det missade också ett verkligt ransomware-prov som jag ställde för att starta vid start.
CyberSights designare testade ett antal lösningar för detta problem och släppte en ny version som går före ransomware för starttid. Jag testade det; det fungerar och tar bort den enda fläcken i RansomStoppers nu-sterling testresultat.
RansomFree körs som en tjänst, så den är aktiv innan någon vanlig process. När jag utförde samma test och ställde ett verkligt ransomware-prov för att starta vid uppstarten, fick RansomFree det också. Malwarebytes klarade också detta test. RansomBuster upptäckte boot-time-attacken och återställde de drabbade filerna.
För att ytterligare undersöka detta problem fick jag ett prov av Petya ransomware som orsakade problem tidigare i år. Den här specifika belastningen kraschar systemet och simulerar sedan reparation av starttid av CHKDSK. Vad det faktiskt gör är att kryptera din hårddisk. Malwarebytes, RansomFree och RansomBuster misslyckades alla med att förhindra denna attack. RansomStopper fångade det innan det kunde orsaka systemkrasch - imponerande! ZoneAlarm förhindrade också Petyas attack. För att vara rättvis mot de andra är den här inte en typisk filkrypterande ransomware. Snarare låser det hela systemet genom att kryptera hårddisken.
När jag frågade mina kontakter fick jag reda på att ransomware-attacker med starttid, inklusive Petya, blir mindre vanliga. Trots det har jag lagt till detta test i min repertoar.
Andra tekniker
Beteende-baserad upptäckt, när den implementeras korrekt, är ett utmärkt sätt att bekämpa ransomware. Men det är inte det enda sättet. Trend Micro RansomBuster och Bitdefender Antivirus Plus är bland de som folierar ransomware genom att kontrollera filåtkomst. De förhindrar att betrodda program inte gör några ändringar i filer i skyddade mappar. Om ett opålitligt program försöker ändra dina filer får du ett meddelande. Vanligtvis får du alternativet att lägga till det okända programmet i den betrodda listan. Det kan vara praktiskt om det blockerade programmet var din nya text- eller fotoredigerare. Panda Internet Security går ännu längre och förhindrar att otillförlitliga program till och med läser data från skyddade filer.
Ransomware-skurkar måste se till att de kan dekryptera filer när offret betalar upp. Att kryptera filer mer än en gång kan störa återhämtningen, så de flesta inkluderar en markör av något slag för att förhindra en andra attack. Bitdefender Anti-Ransomware utnyttjar den tekniken för att lura specifika ransomware-familjer att tro att de redan har attackerat dig. Observera dock att denna teknik inte kan göra någonting om helt nya ransomware-typer.
När Webroot SecureAnywhere AntiVirus möter en okänd process, börjar den journalisera all aktivitet med den processen och skicka data till molnet för analys. Om processen visar sig vara skadlig programvara rullar Webroot tillbaka allt den gjorde, till och med rullar tillbaka ransomware-aktivitet. ZoneAlarm och RansomBuster har sina egna metoder för att återställa filer. När anti-ransomware-komponenten i Acronis True Image dödar en ransomware-attack kan den vid behov återställa krypterade filer från sin egen säkerhetskopia.
Nu en vinnare
CyberSight RansomStopper upptäckte och blockerade alla mina verkliga ransomware-prover utan att tappa några filer. Det upptäckte också min enkla handkodade ransomware-simulator. Och det blockerade en attack av Petya, där flera konkurrerande produkter misslyckades.
Tidigare uppvisade RansomStopper en sårbarhet för ransomware som bara körs vid starttid, men mina källor säger att den här typen av attack blir mindre vanlig och CyberSight har sedan fixat problemet. Andra gratisprodukter hade sina egna problem. RansomFree missade ett verkligt exempel, och Malwarebytes låt ett annat prov irreversibelt kryptera några filer innan dess upptäckt sparkade in. RansomBuster klarade sig sämre, saknade halva proverna helt (även om dess mappsköldkomponent skyddade de flesta filer).
RansomStopper och Check Point ZoneAlarm Anti-Ransomware är våra bästa val för dedikerat ransomware-skydd. ZoneAlarm är inte gratis, men för $ 2, 99 per månad är det inte heller väldigt dyrt. Fortfarande hanterar RansomStopper fullt skydd utan kostnad.
