Heilig försvar ransomoff granskning och betyg

Visst är ransomware en huvudvärk för individer - vem vill förlora alla dina framsteg på den stora amerikanska romanen? Men föreställ dig hur mycket värre det är för företag som kan förlora $ 100 000 per timme (eller mer) när ransomware låser upp produktionen. Avancerade affärssäkerhetssystem behöver kraftfullt skydd mot ransomware, och ibland gör leverantörerna av sådana system det skyddet tillgängligt på personlig nivå. Så är fallet med det gratis Heilig Defense RansomOff, som använder teknik som lånats från high-end Hielig Defense Correlate.

På liknande sätt kapslar Cybereason RansomFree ransomware-skyddet som finns i Cybreasons produkter på företagsnivå. Men där RansomFree, RansomStopper och de flesta andra gratis ransomware-specifika verktyg minskar inställningar och användarinteraktion till ett minimum, innehåller RansomOff flera lägen och moduler som förvirrade även mig ibland.

RansomOff är en liten nedladdning och installeras snabbt. Som standard körs det i enkelt läge, beskrivet som "problemfri skydd." Du kan också välja Avancerat läge för att "släppa loss RansomOffs fulla potential." Jag använde båda lägena vid testning, som du ser nedan.

Enkelt läge

I standard Enkelt läge tar RansomOff hand om verksamheten helt i bakgrunden, utan meddelande om att det har avslutat andra hot än en kort animering av ikonen för meddelandefältet. När du dubbelklickar på ikonen visas ett litet fönster med knappar för att se varningar och växla till avancerat läge.

I det här läget avslutar RansomOff ransomware, men det försöker inte rensa. Du kan alltid se vad den gjorde genom att dubbelklicka på ikonen och sedan klicka på Visa varningar. Listan med varningar inkluderar avvaktande saneringsåtgärder, som du kan starta manuellt.

Vid testning upptäckte och avslutade det alla mina verkliga ransomware-prover. Jag såg efter den animerade ikonen, kontrollerade varningarna och bad i varje fall om sanering. Emellertid utlöste mindre än hälften av proverna en Ransomware Detected-varning. För resten rapporterade det HIPS-Lite Notification, berättade för mig att det kränkande programmet försökte konfigurera sig själv för att starta vid start.

Som en sanitetskontroll körde jag flera verktyg från den samling jag håller för falskt positiva tester och valde sådana vars funktionalitet kräver att de ska startas vid start. I varje fall eliminerade RansomOff dessa helt legitima program. Jag har inte observerat denna typ av beteende i andra ransomware-specifika verktyg. Med tanke på att HPS-Lite-funktionen eliminerar både legitima och skadliga program, kan jag knappast kalla det ransomware-upptäckt.

Avancerat läge

För ytterligare utforskning växlade jag RansomOff till Advanced Mode och upprepade testet. Programmets beteende är mycket annorlunda i detta läge. Vid upptäckt av ransomware tar det över skärmen med en omöjlig att ignorera varning och ber din tillåtelse att hantera problemet. Du kan klicka för mer information innan du bestämmer dig. Om den upptäcker modifiering av uppstartssekvensen eller andra misstänkta åtgärder, dyker upp ett mindre strikt HIPS-Lite-meddelande och frågar om det ska tillåtas eller blockeras ändringen.

Jag sprang igenom proverna igen och valde Block vid alla HIPS-Lite-varningar. Resultaten liknade det jag såg i Simple Mode, med ett iögonfallande undantag. Kanske på grund av förseningen med att visa dess anmälan, tillät RansomOff ett prov att kryptera filerna i mappen Dokument innan de torkade ut det. Jag försökte detta flera gånger, i fall det var en fluke; det hände inte varje gång, men det var definitivt repeterbart.

Därefter försökte jag igen proverna som utlöste HIPS-Lite-varningar och valde Tillåt den här gången. Det var en katastrof. Att berätta RansomOff för att tillåta uppstartmodifiering fick också till att det slutade övervakningen av ransomware-aktivitet. "Det sätt vi ser på det är då processen erkändes för att göra något och användaren gjorde ett val på ett eller annat sätt", förklarade min kontakt på Heilig Defense. "När allt kommer omkring ska användaren vara smartare än programvaran eller åtminstone få dem att tänka lite mer innan de tillåter det."

Jag kan inte hålla med. Säkerhetsprogramvara som sätter kritiska beslut i händerna på den genomsnittliga användaren är enligt min mening ett misstag. Det är som den gamla personliga brandväggsmodellen, som gjorde användaren ansvarig för alla beslut om huruvida varje program ska få åtkomst till nätverket. Andra ransomware-skyddsverktyg gör jobbet utan att involvera användarbeslut.

Fast besluten att få en tydlig bild av programmets förmågor stängde jag av HIPS-Lite-funktionen och upprepade mina tester en gång till. Den här gången upptäckte och blockerade produkten ransomware-beteende i alla prover, ett mycket tillfredsställande resultat. Det besvärliga exemplet lyckades emellertid fortfarande kryptera filer innan RansomOff dackade det.

Ytterligare testning

Jag har ibland stött på säkerhetsprogram som misslyckas när ransomware startas vid start. Jag är snälla att säga att RansomOff inte är en av dem. När jag manuellt ställde in ett par prover för att starta vid Windows-start blockerade det dem effektivt.

För en mycket grundläggande sanitetskontroll har jag skrivit ett litet program som krypterar alla textfiler i mappen Dokument med vändbar XOR-kryptering. Många verktyg för ransomware-skydd upptäcker inte detta program, eftersom inget faktiskt ransomware skulle kryptera på detta enkla sätt. Men RansomOff fångade det.

Jag laddade också upp RanSim ransomware simulator från KnowBe4. Detta verktyg simulerar 10 tekniker som används av faktiska ransomware, tillsammans med två ofarliga krypteringsaktiviteter. I Enkelt läge kunde jag inte ens installera det eftersom RansomOff torkade ut det. Försök igen i avancerat läge med HIPS-Lite avstängd, jag lyckades en framgångsrik installation.

Medan testverktyget gick igenom sina scenarier, svarade jag på 11 detekteringsvarningar från RansomOff. När testet avslutades rapporterade RanSim framgångsrikt förebyggande av alla 10 simulerade ransomware-aktiviteter, tillsammans med ett av de oskadliga scenarierna. Acronis Ransomware Protection gjorde exakt samma. Att blockera alla 10 simulerade attacker är ett stort plus; en falsk positiv är ett litet minus.

Fancy Ransomware-skyddsfunktioner

Jag är van vid att ransomware-skyddsverktyg som är så diskreta att de knappt har ett huvudfönster och ibland inte har några konfigurationsinställningar alls. RansomOff i avancerat läge är en ganska avgång, med flera snygga funktioner som jag bara kunde fathom genom att gräva in i dokumentationen.

App-låsning

App Lockdown är ett vitlistbaserat skyddssystem som är inaktiverat som standard med flera driftsätt. I det stränga läget Alla processer måste du OK alla processer som startas om det inte redan har undantagits. När RansomOff lossnar till nytt processläge ber bara om verifiering första gången en process körs under Windows-sessionen. Du kan skära ned på popup-fönster genom att befria Windows-processer, digitalt signerade programfiler eller båda.

Jag aktiverade App Lockdown i läget Alla processer och startade Chrome. Jag var tvungen att OK fem olika processer, men vid en senare lansering var dessa processer undantagna. Tekniska kunniga användare kan konfigurera App Lockdown för att aktiveras automatiskt när en specifik process laddas och eventuellt inaktivera när den processen stängs. Förinställningen för Web Lockdown konfigurerar App Lockdown för att aktiveras när ett webbläsarfönster är aktivt, precis som VoodooSoft VoodooShield fungerar.

Säkerhetskopiering och återställning

Funktionen Säkerhetskopiering och återställning, som är aktiverad som standard, syftar till att säkerhetskopiera hotade filer och vid behov återställa dem efter ransomware-aktivitet. Enligt dokumentationen "RansomOff kommer att göra en kopia av en fil baserad på vissa åtgärder och spara den i skyddat utrymme." Det erbjuder flera återställningsmetoder, bland dem att välja en process för att återställa ändringar som gjorts och söka efter filer som behöver återställas, samt ett alternativ för att ta bort filer som RansomOff kan ha raderat i fel. I min testning såg jag aldrig den här funktionen i aktion; det hjälpte inte med det enda irriterande ransomware-provet som krypterade mina dokument.

Återställningsfunktionen i Check Point ZoneAlarm Anti-Ransomware visade sig både enklare och mer effektiv. I alla fall erbjöd den sig att återställa alla krypterade filer och gjorde det framgångsrikt. Det enda felet i testen innebar rapporteringsfel en gång när det faktiskt lyckades.

Acronis Ransomware Protection tar en annan inställning till säkerhetskopiering. Det skapar en krypterad molnbackup av filerna i dina skyddade mappar, upp till 5 GB värda, och återställer alla filer som skadats av ransomware efter att eliminera hotet.

Mappskydd

Om du klickar på mappar öppnas RansomOffs behörighetsbaserade skydd för mappar du anger. Liksom Bitdefender Antivirus Plus, Trend Micro och några andra, kan det förhindra att obehöriga program ändrar filer, men det erbjuder flera andra alternativ. Du kan låta den neka all åtkomst till filer i den skyddade mappen, dölja existensen av dessa filer eller blockera lansering av körbara filer från den skyddade platsen. Den här senaste är användbar mot hot som TeslaCrypt, som släpper en slumpmässig namngivbar körbar fil i mappen Dokument och startar den.

Förvirrande hanterar du skydd genom att lägga till mappar till en av fem olika listor: Avvisa, lura, dölja, skrivskyddad och ingen körning. En mapp kan bara innehålla en av dessa listor åt gången. För att börja lägger jag till mappen Dokument i Neka-listan. Detta bör förhindra både läs- och skrivåtkomst till skyddade filer, liksom den liknande funktionen i Panda Internet Security. Men det gjorde inget för att förhindra en liten redaktör som jag skrev själv att läsa och ändra filer.

Det visar sig att jag inte uppmärksammade nog. Skärmen visade tydligt "Skydd inte aktiverat" under min valda mapp. Du måste också lägga till minst en undantagen ansökan innan RansomOff startar skyddet. Jag lade till Windows Explorer i listan med undantag för att aktivera skydd. Efter det dykte inte dokumentmappen ens upp i min lilla redaktörs dialogruta med öppen fil.

Jag valde Ändra skydd och flyttade min skyddade mapp till listan Endast läst. Den här gången laddade min lilla redaktör fram en textfil från den skyddade mappen, men ett försök att spara en modifierad version fick ett meddelande som säger "Stream skriva fel." Det är en besvikelse. Trend Micro RansomBuster och flera andra liknande program rapporterar försökt tillgång och ger dig en chans att vitlista applikationen. När du just har installerat ett nytt dokument eller fotoredigerare kan du enkelt markera det nu.

Under processen med att testa min lilla redaktör upptäckte jag många filer i mappen Dokument som helt enkelt inte fanns i Windows Utforskaren. Liksom RansomFree och CyberSight RansomStopper använder RansomOff "agn" -filer för att hjälpa till att upptäcka det. Det döljer dem i allmänhet för vyn, som RansomStopper, men de dyker upp i vissa situationer.

Behöver avstämning

De flesta ransomware-specifika skyddsverktyg är superströmlinjeformade, gör sina jobb tyst, med lite behov av användarinteraktion eller konfiguration. Att installera ett sådant verktyg tillsammans med ditt befintliga antivirusskydd ger dig ett enkelt sekundärt skyddslager. RansomOff är mycket mer komplex än någon av sina konkurrenter, med avancerade inställningar och funktioner som är förbryllande utan en noggrann läsning av dokumenten. Vid testning upptäckte det alla ransomware-prover, men låt en av dem kryptera filer trots upptäckt.

Tekniker kan tycka om det, men för närvarande är det alldeles för komplicerat för den genomsnittliga användaren. På den rosiga sidan är utvecklarna snabba att lösa problem, till och med uppdatera programmet för att fixa ett par problem under min recension. Jag ser fram emot en version som inte kräver så mycket av den genomsnittliga användaren.

Med ett enklare gränssnitt och utmärkt återhämtning är Check Point ZoneAlarm Anti-Ransomware ett redaktörs val för ransomware-skydd. Om att betala för ännu ett säkerhetsverktyg inte är det du hade i åtanke, är CyberSight RansomStopper gratis, och det är också ett redaktörsval på detta område.