Đánh giá và đánh giá ransomfree của Cyberory

Nếu phần mềm chống vi-rút của bạn không bắt được Trojan đánh cắp dữ liệu, bạn có thể nhận được thẻ tín dụng mới. Nếu một virus thực sự vượt qua được sự phòng vệ của nó, một công cụ dọn dẹp tích cực sẽ xử lý vấn đề này. Nhưng nếu phần mềm chống vi-rút của bạn bỏ lỡ một cuộc tấn công ransomware, bạn có thể mất tất cả các tài liệu của mình hoặc thậm chí mất quyền truy cập vào máy tính của mình. Đó là nơi mà Cybereach's RansomFree xuất hiện. Tiện ích bảo vệ ransomware chuyên dụng, miễn phí này hoạt động cùng với phần mềm chống vi-rút hiện có của bạn. Nó tập trung 100 phần trăm vào việc phát hiện và ngăn chặn sự xâm nhập của ransomware bằng cách theo dõi các hành vi phổ biến đối với các cuộc tấn công này. Trong thử nghiệm, với các mẫu phần mềm độc hại trong thế giới thực, khó chịu, nó hoàn thành công việc.

Các thành viên của nhóm Cyberory được đào tạo trong Đơn vị 8200 ưu tú của Quân đoàn Tình báo Israel, một đội chuyên về an ninh mạng. Họ đã cắt răng trên các cuộc tấn công mạng cấp quân sự và hiện họ cung cấp hệ thống phòng thủ cao cấp cho các công ty lớn bao gồm SoftBank, Vizio và Lockheed Martin. Khi dịch bệnh ransomware bắt đầu khiến nhiều người tiêu dùng gặp rủi ro, CEO của công ty đã quyết định trích xuất thành phần ransomware từ bộ bảo mật Cyberory đầy đủ và cung cấp bảo vệ ransomware miễn phí cho người tiêu dùng. Các doanh nghiệp nhỏ cũng có thể sử dụng nó; các doanh nghiệp lớn hơn nên xem xét dịch vụ Cyberory quy mô đầy đủ.

Ngay sau khi cài đặt, RansomFree bắt đầu bảo vệ hệ thống của bạn chống lại ransomware. Nó chạy trong nền, xem các hành vi cụ thể đối với ransomware. Là một phần của quy trình này, nó tạo ra các tệp "mồi" ở các vị trí chính như Bàn làm việc và thư mục Tài liệu. Không có chữ ký chống vi-rút; RansomFree dựa vào phát hiện dựa trên hành vi.

Cuộc tấn công của Ransomware

RansomFree là một trong những công cụ bảo mật dành riêng cho ransomware đầu tiên mà tôi đã xem xét năm ngoái. Vào thời điểm đó, tôi chỉ có một vài mẫu trong thế giới thực, cộng với các biến thể được sửa đổi bằng tay của chúng. Bây giờ tôi có một nửa tá mẫu bao gồm nhiều gia đình ransomware khác nhau. RansomFree đã phát hiện và chặn tất cả.

Khi phát hiện ra một quy trình hoạt động như ransomware, RansomFree sẽ đình chỉ quy trình đó và hiển thị một cảnh báo lớn. Bạn bấm Có để chấm dứt quá trình và dọn sạch mọi vấn đề. Bạn cũng có thể nhấp Không, nhưng tôi không khuyến nghị điều đó. Có một liên kết để xem tất cả các tệp được tạo, sửa đổi hoặc xóa bởi quá trình vi phạm. Xem lại thông tin này, tôi có thể thấy, ví dụ, một kẻ tấn công đã tạo một tệp thực thi với một tên ngẫu nhiên ngay trong thư mục Tài liệu và chuyển quyền điều khiển sang chương trình đó. Một cái khác đã xóa sự hiện diện trên đĩa của nó sau khi tải vào bộ nhớ.

Trong một số trường hợp, RansomFree xuất hiện hai hoặc thậm chí ba lần; Tôi luôn luôn bấm Có. Sau khi hoàn thành, nó cảnh báo rằng phần mềm ransomware có thể đã để lại một ghi chú tiền chuộc hoặc các mảnh vụn khác mà bạn phải dọn dẹp bằng tay. Thật vậy, tôi tìm thấy ghi chú tiền chuộc trong một vài trường hợp.

Tôi đã chạy vào một vài sản phẩm thất bại trong việc ngăn chặn một cuộc tấn công ransomware được khởi chạy khi khởi động Windows. IObit Advanced SystemCare Ultimate là một ví dụ, cũng như CyberSight RansomStopper miễn phí. Khi tôi định cấu hình mẫu ransomware để khởi chạy khi khởi động, RansomFree không gặp khó khăn gì trong việc phát hiện và chấm dứt nó.

Tôi có trong tay một trình giả lập ransomware nhỏ, đơn giản, một chương trình tôi tự viết. Tất cả những gì nó làm là tìm các tệp văn bản trong thư mục Tài liệu và áp dụng mã hóa XOR cho chúng. Kỹ thuật này chỉ đơn giản là lật tất cả các bit thành 0 và tất cả các bit 0 thành một; áp dụng nó lần thứ hai giải mã tập tin. Điều này tỏ ra quá đơn giản để RansomFree chú ý, và thực sự, nó không thực sự phá hoại. Khá nhiều tiện ích cạnh tranh khác đã bỏ qua FakeCryptor của tôi, trong số đó có Acronis và CryptoDrop Anti-Ransomware.

Ransomware đĩa mã hóa

Loại ransomware phổ biến nhất mã hóa các tệp thiết yếu của bạn, nhưng để máy tính hoạt động. Điều đó có ý nghĩa hoàn hảo, bởi vì nạn nhân cần truy cập internet và máy tính để trả tiền chuộc. Tuy nhiên, có một loại khác, ít phổ biến hơn, thực hiện mã hóa toàn bộ đĩa, tạo hiệu quả cho thiết bị cho đến khi bạn trả tiền. Các ransomware khét tiếng Petya là một trong số đó, và tôi đã quản lý để lấy một mẫu Petya.

Các tiện ích bảo vệ ransomware dựa trên hành vi không nhất thiết phải bảo vệ chống lại kiểu tấn công này. Trong bốn sản phẩm khác mà tôi đã thử nghiệm kể từ khi lấy mẫu Petya, Acronis và RansomStopper đã ngăn chặn một cuộc tấn công Petya, nhưng Malwarebytes Anti-Ransomware Beta và CryptoDrop thì không.

Một bài đăng trên blog của Cyberory khiến tôi nghĩ rằng RansomFree có thể ngăn Petya. Tuy nhiên, khi tôi khởi chạy mẫu của mình, nó đã tiến hành đánh sập hệ thống và chạy một sửa chữa đĩa cấp thấp giả vờ khi khởi động lại. Trong thực tế, nó đã mã hóa đĩa, không sửa chữa nó. Điều đáng chú ý là ransomware mã hóa đĩa ít phổ biến hơn nhiều so với loại mã hóa tệp và phần mềm chống vi-rút của bạn rất có thể sẽ bắt được nó trước khi nó có thể gây hại.

Mô phỏng câu hỏi hóc búa

KnowBe4 là một công ty được biết đến với các khóa đào tạo chống lừa đảo hơn là các sản phẩm, nhưng nó cung cấp Trình mô phỏng Ransomware RanSim miễn phí. Không chạm vào bất kỳ tệp quý giá nào của riêng bạn, RanSim mô phỏng mười kỹ thuật ransomware phổ biến nhất, cũng như hai kỹ thuật vô hại liên quan mà bảo vệ ransomware không nên chặn.

Tôi đã cài đặt RanSim trên hệ thống thử nghiệm và chạy các chuỗi thử nghiệm của nó, với kết quả đáng thất vọng. RansomFree đã kiềm chế chính xác việc can thiệp vào hai kịch bản dương tính giả, nhưng nó cũng không làm gì để chặn 10 kịch bản ransomware.

Sau khi đào bới, gãi đầu và kết hợp với cả Cyberory và KnowBe4, tôi đã hiểu được vấn đề. RanSim đặt các tệp thử nghiệm của nó trong các thư mục trong các thư mục, bốn cấp độ bên dưới thư mục Tài liệu. Mã hóa các tệp như vậy mà không chạm vào nội dung thực tế của thư mục Tài liệu không phải là hành vi phù hợp với bất kỳ phần mềm ransomware trong thế giới thực nào. Vì vậy, RansomFree bỏ qua nó. Acronis đã chặn tất cả 10 kịch bản và Malwarebytes có tám kịch bản. Những người khác xóa sạch toàn bộ nền tảng thử nghiệm, có nghĩa là nó không thể báo cáo bất kỳ kết quả nào.

Các trường hợp khác

Ransomware là một vấn đề nghiêm trọng, vì vậy không có gì đáng ngạc nhiên khi các công ty khác đã nghĩ ra phương pháp của riêng họ để chống lại nó. Tất cả phát hiện phần mềm độc hại trong Webroot SecureAnywhere AntiVirus dựa trên hành vi, không chỉ phát hiện ransomware. Phần mềm chống vi-rút ngay lập tức xóa sạch mọi quy trình phù hợp với hồ sơ hành vi phần mềm độc hại hiện có. Nếu không rõ ràng 100 phần trăm rằng quy trình nghi ngờ là độc hại, Webroot sẽ ghi lại các hành động cục bộ của nó và ảo hóa mọi hành động không thể đảo ngược như gửi thông tin qua internet. Khi phân tích dựa trên đám mây của nó sau đó xác định quy trình nghi ngờ đó là phần mềm độc hại, máy khách cục bộ sử dụng dữ liệu nhật ký để đảo ngược tất cả các hành động của quy trình đó, bao gồm đảo ngược các hành động mã hóa được thực hiện bởi ransomware.

Bạn phải mua bộ Panda Internet Security đầy đủ để nhận được bảo vệ ransomware từ Panda; phần mềm diệt virus độc lập không bao gồm thành phần Data Shield. Data Shield nhằm mục đích bảo vệ các tài liệu quý giá của bạn khỏi mọi truy cập trái phép, vì vậy ransomware không thể mã hóa các tệp của bạn và Trojan không thể đánh cắp dữ liệu của bạn. Nếu Panda phát hiện nỗ lực truy cập bởi bất kỳ chương trình trái phép nào, nó sẽ hỏi bạn có cho phép hay không. Đương nhiên, bạn sẽ cấp quyền cho trình xử lý văn bản mới mà bạn vừa cài đặt, nhưng nếu yêu cầu không rõ ràng, hãy từ chối!

Trend Micro Antivirus + Security và Avast Internet Security là một trong những sản phẩm khác giúp loại bỏ ransomware bằng cách ngăn chặn sửa đổi tập tin trái phép. Tuy nhiên, họ không ngăn truy cập chỉ đọc theo cách mà Panda làm.

Trong lĩnh vực công cụ được thiết kế đặc biệt để chống lại phần mềm độc hại, hầu hết tất cả đều sử dụng phát hiện dựa trên hành vi. Bitdefender Anti-Ransomware là một ngoại lệ; nó hoạt động bằng cách phá vỡ các kỹ thuật riêng của ransomware để tránh mã hóa kép, "tiêm phòng" cho hệ thống để ransomware nghĩ rằng nó đã hoàn thành công việc của mình.

Check Point ZoneAlarm Anti-Ransomware bổ sung phát hiện dựa trên hành vi với một hệ thống để khôi phục bất kỳ tệp nào có thể đã được mã hóa trước khi phát hiện. Trong thử nghiệm, nó đã làm một công việc hoàn hảo, thậm chí loại bỏ các ghi chú tiền chuộc rải rác.

Với Acronis Ransomware Protection, bạn nhận được 5GB dung lượng lưu trữ đám mây cho các tệp nhạy cảm của mình. Nếu ransomware mã hóa một hoặc hai tệp trước khi phát hiện, Acronis chỉ cần khôi phục từ bản sao lưu được bảo vệ của nó. Nếu 5GB không đủ, bạn luôn có thể nâng cấp lên dịch vụ sao lưu Acronis True Image của công ty, bao gồm cả thành phần chống ransomware.

Trend Micro RansomBuster đi ra ngoài, chiến đấu với ransomware trên nhiều mặt trận. Thư mục Shield của nó chặn sửa đổi các tệp nhạy cảm, nó sử dụng phát hiện dựa trên hành vi và nó phục hồi các tệp từ bộ nhớ an toàn nếu cần. Tuy nhiên, khi tôi tắt Thư mục Khiên để kiểm tra, phát hiện dựa trên hành vi đã bỏ lỡ một số mẫu.

Đình chỉ và vành đai

RansomFree, đúng như tên gọi, miễn phí, và khi chúng tôi thử nghiệm nó với phần mềm ransomware trong thế giới thực, nó đã làm dịch vụ yeoman. Đây không phải là một giải pháp phổ quát, nhưng nó là một bổ sung đáng giá cho tiện ích bảo vệ phần mềm độc hại cho mục đích chung của bạn. Tôi đã cài đặt nó trên PC sản xuất chính của mình và tôi khuyên bạn nên xem xét thêm nó hoặc một tiện ích bảo vệ ransomware miễn phí khác để bổ sung cho bảo vệ chống vi-rút toàn diện của bạn.

Check Point ZoneAlarm Anti-Ransomware là sự lựa chọn của ban biên tập của chúng tôi về bảo mật dành riêng cho ransomware. Mặc dù nó không miễn phí, nhưng nó cũng không đắt. Nó bảo vệ chống lại tất cả các mẫu ransomware của chúng tôi và các tệp được phục hồi khi cần thiết, mà không ném các tệp mồi xung quanh hệ thống.