Malwarebytes beta-granskning och bedömning av anti-ransomware

Ditt kompletta antivirusverktyg gör förmodligen ett mycket bra jobb med att hålla din dator skadlig från skadlig kod. Men ingen är perfekt, så då och då kan ett helt nytt virus eller trojan komma förbi realtidsskyddet. Även då rensar vanligtvis upp en antivirusuppdatering situationen innan länge. Men om hotet som gled igenom var att kryptera ransomware är du i problem. Visst kan det uppdaterade antiviruset ta bort det kränkande programmet, men skadan är redan klar. Dina filer förblir krypterade och otillgängliga. Malwarebytes Anti-Ransomware Beta syftar till att rädda dig denna smärta genom att fånga ransomware som antivirus saknar.

Förvisa dig inte på grund av "beta" i namnet. Denna kostnadsfria produkt är i ständigt betatest och tar emot all den senaste ransomware-stridstekniken från Malwarebytes. Senare, när några grova fläckar har jämnats ut, flyttar företaget den tekniken till det kommersiella Malwarebytes Anti-Ransomware for Business. Detta tillfredsställer IT-teamet, som vanligtvis föredrar något äldre teknik framför banbrytande.

Naturligtvis får du ransomware-skydd som en del av företagets fullskaliga antivirusersättning, Malwarebytes 3.0 Premium. Den fristående ransomware-skyddsprodukten fungerar tillsammans med ditt befintliga antivirusprogram och arbetar för att fånga allt som de viktigaste antivirusprogrammen saknar.

Ransomware-skyddsstilar

Det finns ett antal olika sätt säkerhetsprodukter implementerar ransomware-skydd. Ett sätt innebär att kontrollera åtkomst till skyddade platser, skyddade filtyper eller båda. Kända bra program som Windows-komponenter och Office-program får grönt ljus. När en okänd app försöker åtkomst varnar säkerhetsprodukten användaren för en eventuell ransomware-attack. Om det bara är en ny dokumentredigerare, kan användaren vitlista den med ett klick; om det är ransomware skickar ett annat klick till karantän.

Vissa produkter förhindrar bara ändringar i skyddade filer. Andra, inklusive IObit Malware Fighter 5 Pro och Panda Internet Security, förhindrar till och med obehörig läsning av data från skyddade filer. Denna typ av skydd förhindrar också datastjällande trojaner från att sippa bort dina privata uppgifter.

Det kan tänkas att en knepig ransomware-process kan göra sina smutsiga handlingar genom att undergräva ett vitlistat program eller hitta något annat sätt att komma åt åtkomstbegränsningar. Även om det hände, kan en produkt som upptäcker ransomware baserat på dess beteende fortfarande folier attacken. Så fungerar Malwarebytes Anti-Ransomware. Cybereason RansomFree tar ett liknande tillvägagångssätt.

Du hittar ransomware-specifika skyddslager även i olika antivirusprodukter. Bitdefender och Trend Micro inkluderar en sådan komponent. Upptäckt av skadlig programvara av Webroot SecureAnywhere AntiVirus är helt beteendebaserat, och detta verktygs journalförings- och återuppspelningssystem för okända program kan faktiskt vända en ransomware-attack. Företaget varnar för att utrymmet som är tillgängligt för journalföring och rollback är begränsat.

Komma igång med Malwarebytes

Malwarebytes Anti-Ransomware är ett litet, lättviktsprogram som installeras i en jiffy. Det enkla huvudfönstret har bara tre flikar: Dashboard, karantän och undantag. Instrumentpanelen bekräftar helt enkelt att skyddet är aktivt och erbjuder en länk för att stänga av och slå på skyddet. Du kommer inte att se någonting i karantän såvida inte produkten undviker en verklig ransomware-attack.

Varför skulle du vilja utesluta en fil från upptäckt? Det här är en betaprodukt, och det kan tänkas att en legitim krypteringsprodukt kan fastna i sitt nät. Om du stöter på en sådan falsk positiv, rädda bara den från karantän och lägg den på listan över uteslutningar.

Testa Ransomware-skydd

Testa ransomware-skydd är tuffare än att testa skydd mot skadlig programvara. De skadliga programmen själva ibland letar efter tecken på tester och ligger låga. Om du inte är försiktig med prover från ransomware i verkligheten, kan de undvika sitt fängelse från virtuella maskiner och göra verkliga skador.

Produkter som Panda Internet Security som fungerar genom att kontrollera åtkomst till filer är lätta att testa. Jag har små testprogram som utövar denna typ av skydd.

Men med beteendebaserat skydd, ibland är mitt enda sätt att använda verkliga ransomware i en noggrant kontrollerad miljö. Min ransomware-testning utvecklas fortfarande. För närvarande har jag tre prover i verkligheten, hot som jag samlade mig från farliga webbplatser. Malwarebytes gjorde det bra i mitt praktiska test.

Det första provet från ransomware är humörigt. Ofta körs det bara som en bakgrundsprocess utan att göra något. Utan inget beteende kan det inte finnas någon beteendebaserad upptäckt, så Malwarebytes får ett pass på den här.

Malwarebytes fångade den andra rödhänt, karantänade den och bad om omstart för att slutföra sin sanering. Efter omstart observerade jag att ransomware under beteendeanalys av Malwarebytes lyckades kryptera flera filer. För mig verkar det som en naturlig konsekvens av beteendebaserad upptäckt. Utan ransomware-beteendet finns det ingen upptäckt, eller hur? Men min kontakt på Malware bytes säger att de "kommer riktigt nära att lösa detta."

Det tredje provet föll också till byte för Malwarebytes. Efter omstart tänkte jag ett ögonblick att ransomware fortfarande körde, eftersom det visade sitt lösenbehov som en textfil, ett HTML-dokument och en PNG-bild. Det visar sig dock att ransomware helt enkelt dumpade dessa filer i startmappen, så att de öppnade vid start. Det fanns inget spår av själva skadeprogrammet. Här återigen krypterade skadlig programvara flera filer innan skyddet startade in.

Simulerad Ransomware

Det enda helt pålitliga sättet att testa beteendebaserat ransomware-upptäckt är genom att använda faktiska ransomware. Varje simulering som fullständigt duplicerade aktiviteten för ett krypterande hot från ransomware skulle i sig vara skadlig programvara. Det är dock ingen anledning att helt skriva av tester med simulerad ransomware.

KnowBe4, ett säkerhetsutbildningsföretag, har släppt ett gratisverktyg som heter RanSim, utformat för att testa ditt ransomware-skydd. Den kör moduler som implementerar tio vanliga tekniker för kryptering av ransomware, samt två liknande men ofarliga tekniker. I teorin kommer den bästa produkten att blockera alla ransomware-tekniker och lämna de ofarliga.

När jag testade det aktiva ransomware-skyddet inbyggt i Acronis True Image 2017 New Generation, blockerade det alla utom ett av de simulerade attackerna. Naturligtvis är en fullständig säkerhetskopiering, pansrad mot obehörig förändring, en stor hjälp för att återhämta sig från skadlig attack.

RansomFree upptäckte inte några av de simulerade attackerna. Dess designers påpekade att de simulerade attackerna endast påverkar filer flera mappnivåer under mappen Dokument, ingen annanstans. Ingen verklig ransomware fungerar på det sättet.

Vad gäller Malwarebytes, försvarade den aktivt mot åtta av de 10 simulerade attackerna, men missade två. På grund av problemen med att använda simulerade ransomware anser jag det vara ett plus när en produkt upptäcker RanSims moduler, men jag behandlar ett RanSim-fel som informativt, inte negativt.

Lägg till ditt Arsenal

Malwarebytes Anti-Ransomware Beta gjorde det bra i min enkla praktiska testning. Visst, vissa ransomware krypterade några filer, men utan skydd skulle det ha gjort mycket, mycket värre. Ransomware-skydd handlar nödvändigtvis om lager. Vad en komponent missade, kan en annan fånga. Jag har lagt till Malwarebytes till arsenal av verktyg som skyddar mitt huvudproduktionssystem, tillsammans med Norton Internet Security och Cybereason RansomFree.