Đánh giá và đánh giá về tiền điện tử chống ransomware

Các lập trình viên bất chính tạo ra phần mềm độc hại là vì tiền, bằng cách này hay cách khác. Công cụ khai thác bitcoin chiếm quyền điều khiển chu kỳ CPU và GPU của bạn để bí mật làm giàu cho người tạo ra chúng. Trojan giả vờ là chương trình hữu ích, nhưng bí mật đánh cắp dữ liệu thẻ tín dụng của bạn. Ransomware là cách lấy tiền trực tiếp nhất. Nó mã hóa các tệp quan trọng của bạn, khiến chúng trở nên vô dụng với bạn và yêu cầu bạn trả tiền chuộc cho khóa giải mã. Nếu ransomware trượt qua phần mềm chống vi-rút của bạn, bạn sẽ gặp rắc rối. Đó là lý do tại sao việc bổ sung phần mềm chống vi-rút thông thường của bạn bằng một công cụ dành riêng cho ransomware như CryptoDrop Anti-Ransomware. Công cụ này vừa phát hiện ransomware dựa trên hành vi của nó và phục hồi mọi tệp được mã hóa trước khi phát hiện. Nó giá tốt trong thử nghiệm, với một số bobble nhỏ.

Với 29, 99 đô la mỗi năm, bạn có thể cài đặt CryptoDrop trên ba PC. Đối với một PC duy nhất, bạn có thể chọn trả 2, 99 đô la mỗi tháng hoặc 19, 99 đô la mỗi năm. Ngoài ra còn có phiên bản miễn phí, nhưng tính năng bảo vệ của nó chỉ bao gồm thư mục Documents và nó thiếu tùy chọn khôi phục. Lưu ý rằng Acronis Ransomware Protection, RansomFree, Malwarebytes và Trend Micro cung cấp phát hiện dựa trên hành vi miễn phí; Trend Micro và Acronis cũng bao gồm phục hồi tập tin.

Khởi động và cài đặt

Cũng như nhiều sản phẩm tương tự, bạn cần khởi động lại sau khi cài đặt nhanh chóng, đơn giản. Sản phẩm cài đặt ở chế độ miễn phí ban đầu. Bạn có thể nhấp vào liên kết để mua sản phẩm đầy đủ hoặc kích hoạt bằng tài khoản CryptoDrop của bạn và khóa cấp phép. Khi bạn đã cài đặt và kích hoạt sản phẩm, các chỉ báo trạng thái cho Phát hiện và Khôi phục đều hiển thị một vòng tròn màu xanh lá cây.

Tôi hơi bối rối bởi một hành vi kỳ quặc liên quan đến các chỉ số đó. Mỗi lần tôi mở cửa sổ chính, các chỉ báo đó ban đầu và hiển thị rõ ràng màu đỏ cảnh báo. Sau một giây, họ đổi sang màu xanh lá cây. Không có hại gì trong đó, nhưng nó cảm thấy cẩu thả.

Khi bạn nhấp vào nút Tùy chọn, bạn sẽ nhận được một danh sách các vị trí được bảo vệ. Ban đầu, chúng bao gồm các thư mục Tài liệu, Âm nhạc, Hình ảnh và Video cho mọi tài khoản người dùng, bao gồm Tất cả Người dùng và Công cộng. Một lỗi đã biết (nhưng vô hại) trong phiên bản hiện tại có thư mục Ảnh xuất hiện hai lần. Tôi thực sự khuyên bạn nên thêm thư mục Desktop cho từng tài khoản và bất kỳ thư mục cá nhân nào khác mà bạn sử dụng cho các tệp cá nhân.

CryptoDrop xử lý phục hồi tệp bằng cách giữ các bản sao của các tệp từ các thư mục được bảo vệ của bạn trong một thư mục cứng. Nhưng nếu bạn nhìn vào thư mục DropSafe này, bạn sẽ không thấy bất cứ thứ gì và cũng không có bất kỳ phần mềm ransomware nào có thể có mặt. Sử dụng công nghệ tương tự rootkit, CryptoDrop làm cho các tệp sao lưu của nó không nhìn thấy được đối với các ứng dụng và hệ điều hành.

Theo mặc định, CryptoDrop dự trữ 2GB cho DropSafe. Nếu không gian đó bắt đầu lấp đầy, bạn sẽ nhận được cảnh báo và tùy chọn tăng kích thước. Check Point ZoneAlarm Anti-Ransomware, Trend Micro và Acronis cung cấp khả năng phát hiện và phục hồi tập tin ransomware dựa trên hành vi không giới hạn trong một bộ thư mục cụ thể.

Phát hiện ransomware

Để kiểm tra sự tỉnh táo nhanh chóng, tôi đã chạy một chương trình ransomware giả đơn giản mà tôi tự mã hóa. Tất cả, nó tìm thấy tất cả các tệp văn bản trong thư mục Tài liệu và mã hóa chúng theo chiều ngược lại bằng cách lật tất cả các bit trong mỗi byte, số 0 thành số, số một thành số 0.

Ban đầu, có vẻ như CryptoDrop không hoạt động. Nhìn kỹ hơn, tôi nhận ra rằng tôi chỉ có hai tệp văn bản trong thư mục Tài liệu. CryptoDrop phát hiện "sửa đổi tệp hàng loạt" và mã hóa chỉ hai tệp không đăng ký là sửa đổi hàng loạt. Khi tôi thử lại với hai tá tệp văn bản, CryptoDrop đã chọn hoạt động, tạm dừng chương trình và chuyển sang chế độ Khóa, làm cho tất cả các tệp tạm thời chỉ đọc. Nó cũng tạo ra một quy tắc để luôn chặn chương trình thử nghiệm.

Với thử nghiệm đơn giản đó, tôi đã kiểm tra cách ly hệ thống kiểm tra máy ảo với mạng vật lý và bắt đầu tung ra các mẫu ransomware trong thế giới thực. Trong mọi trường hợp, CryptoDrop đã phát hiện ra mối đe dọa, giết chết nó và chuyển sang chế độ Khóa.

Thỉnh thoảng tôi bắt gặp các công cụ bảo vệ ransomware có thể bị phá vỡ nếu ransomware khởi chạy khi khởi động, trước khi tiện ích chống ransomware. CyberSight RansomStopper đã thất bại trong thử nghiệm này, cũng như việc bảo vệ ransomware trong IObit Advanced SystemCare Ultimate mới nhất. Khi tôi đặt một trong các mẫu ransomware để khởi chạy khi khởi động và khởi động lại, CryptoDrop không gặp khó khăn gì trong việc chống lại nó.

Phục hồi Ransomware

CryptoDrop đã làm rất tốt trong việc phát hiện ransomware. Thành phần phục hồi đã hoạt động, đối với hầu hết các phần, nhưng việc thực hiện nó đã chứng minh một chút không đồng đều.

Như đã lưu ý, CryptoDrop giữ các bản sao lưu an toàn cho các tệp của bạn trong một thư mục có nội dung mà các ứng dụng khác không thể nhìn thấy. Khi bạn nhấp vào Khôi phục tệp, nó sẽ hiển thị danh sách các tệp bị ảnh hưởng bởi cuộc tấn công ransomware gần đây. Cửa sổ khôi phục ngắn, rộng lấp đầy toàn bộ chiều rộng (1.280 pixel) trong hệ thống thử nghiệm của tôi, nhưng không đủ cao để hiển thị hàng tá tệp. Đối với mỗi tệp, nó hiển thị tên đường dẫn đầy đủ ban đầu, tên đường dẫn cho bản sao lưu được bảo vệ, dấu ngày / thời gian và quá trình làm hỏng bản gốc. Vì bất kỳ lý do gì, nó sẽ hiển thị tên đường dẫn khôi phục trong tất cả các mũ, làm cho màn hình khó đọc.

Điều quan trọng là xem lại danh sách các tệp và chỉ chọn những tệp bạn muốn khôi phục. Tôi thấy rằng trong hầu hết các trường hợp, danh sách này bao gồm các tệp được tạo bởi ransomware; bạn không muốn phục hồi chúng. Thay vì sử dụng các hộp kiểm để lựa chọn, CryptoDrop yêu cầu bạn Ctrl + nhấp vào từng mục bạn muốn khôi phục.

Trong mỗi trường hợp, quá trình khôi phục thực tế đã xảy ra nhanh chóng và, theo như tôi có thể nói, đã phục hồi chính xác tất cả các tệp. Trong một số trường hợp, mặc dù, nó đã làm khá hơn một chút. Ví dụ: một lần thử khôi phục dẫn đến bốn phiên bản cho mỗi tệp. Ngoài tài liệu được khôi phục đúng cách và phiên bản được mã hóa còn sót lại, có một tệp cùng tên không có phần mở rộng tệp và một bản sao khác có phần mở rộng .RECOVERED. Điều đó có vẻ hơi lộn xộn.

Trong một trường hợp khác, rắc rối hơn, quy trình ransomware vẫn chạy sau khi CryptoDrop bị đình chỉ. Trong khi tôi đang làm việc trong quá trình khôi phục, nó đã thay đổi máy tính để bàn thành một ghi chú tiền chuộc và cũng hiển thị nhu cầu tiền chuộc của nó dưới dạng tệp HTML. Công bằng mà nói, nó không quản lý bất kỳ hoạt động mã hóa nào nữa, nhưng một tệp bị treo hoàn toàn không nên chạy.

Ransomware đĩa mã hóa

Cho đến nay, ransomware mã hóa là loại phổ biến nhất, nhưng có một vài mối đe dọa mã hóa ổ đĩa, có nghĩa là máy tính của bạn là cục gạch cho đến khi bạn trả tiền chuộc. Petans ransomware khét tiếng giả mạo sự cố hệ thống sau đó là kiểm tra đĩa khi khởi động, nhưng những gì nó thực sự làm là mã hóa ổ đĩa của bạn trong khi giả vờ kiểm tra nó.

Giống như hầu hết các tiện ích bảo vệ ransomware, CryptoDrop tập trung vào các trình mã hóa tệp chứ không phải toàn bộ loại mã hóa đĩa. Nó không làm gì để ngăn chặn mẫu Petya của tôi. Các sản phẩm duy nhất tôi thấy thành công ngăn chặn sự tấn công của Petya là Acronis, RansomStopper và Sophos Home Premium.

Kỹ thuật khác

Mặc dù phát hiện dựa trên hành vi là tính năng phổ biến nhất trong các tiện ích bảo vệ ransomware, nhưng đây không phải là kỹ thuật duy nhất có thể giúp đỡ. Bitdefender Antivirus Plus, Trend Micro RansomBuster và một vài người khác cấm sửa đổi các tệp được bảo vệ bởi các chương trình trái phép. Nếu bạn nhận được cảnh báo bật lên ngay khi bạn khởi chạy, giả sử, một chương trình chỉnh sửa hình ảnh mới, chỉ cần nhấp để đưa vào danh sách trắng. Nếu cảnh báo đến bất ngờ, hãy chặn hoạt động.

Panda Internet Security và IObit Advanced SystemCare Ultimate là một trong số ít các chương trình không cho phép đọc các tệp được bảo vệ của bạn. Điều này có nghĩa là họ cũng có thể cản trở các Trojans ăn cắp dữ liệu.

Một doanh nhân ransomware thành công cần phải đảm bảo rằng "khách hàng" trả tiền chuộc có thể lấy lại được các tập tin của họ. Điều đó có nghĩa là họ phải tránh mã hóa cùng một hệ thống hai lần, điều đó có nghĩa là họ cần đánh dấu các hệ thống bị nhiễm theo một cách nào đó. Bitdefender Anti-Ransomware miễn phí sử dụng thực tế này để "tiêm phòng" cho PC chống lại các cuộc tấn công ransomware rất cụ thể, đã biết. Nó chỉ đơn giản là đánh lừa kẻ tấn công nghĩ rằng nó đã phá hủy sự tàn phá của nó.

Phát hiện dựa trên hành vi có một điểm yếu tiềm năng. Các ransomware cũng có thể mã hóa ít nhất một vài tệp trước khi thuật toán hành vi khởi động để ngăn chặn nó. Cả Malwarebytes và Cyberory RansomFree miễn phí đều bị mất một vài tệp trong quá trình thử nghiệm. Điều đó vẫn tốt hơn là mất tất cả các tệp của bạn, nhưng một hệ thống khôi phục tệp thậm chí còn tốt hơn. Trong thử nghiệm, ZoneAlarm đã thực hiện một công việc phục hồi hoàn hảo. Đó chỉ là một trường hợp trong đó phục hồi thành công, nhưng nó báo lỗi.

Một người mới thú vị

CryptoDrop là một công ty tương đối mới, được thành lập dựa trên công nghệ được tạo ra bởi các giáo sư Khoa học Máy tính tại Đại học Florida. Nó có một vài cạnh khó khăn, chẳng hạn như trình bày các tập tin lúng túng để phục hồi và thỉnh thoảng nhân các tập tin được phục hồi. Trong thử nghiệm, nó đã chặn cả ransomware trong thế giới thực và ransomware mô phỏng, mặc dù một chương trình ransomware vẫn chạy sau khi CryptoDrop báo cáo rằng nó bị chặn. Tôi mong đợi một phiên bản trong tương lai với một chút đánh bóng hơn.

Sự lựa chọn của ban biên tập của chúng tôi để bảo vệ ransomware là Check Point ZoneAlarm Anti-Ransomware. Với 2, 99 đô la mỗi tháng cho ba giấy phép, giá của nó không khác nhiều so với CryptoDrop. Trong thử nghiệm, nó đã phát hiện tất cả các mẫu ransomware và khôi phục sạch mọi tệp mà ransomware đã mã hóa. Nếu mức giá thấp đó là quá nhiều, Acronis Ransomware Protection miễn phí kết hợp phát hiện dựa trên hành vi với bản sao lưu đám mây được mã hóa của các tệp nhạy cảm của bạn.