Đánh giá và đánh giá ransomstopper

Bảo vệ Ransomware

Khi RansomStopper phát hiện một cuộc tấn công ransomware, nó sẽ chấm dứt quá trình vi phạm và bật lên một cảnh báo trong khu vực thông báo. Nhấp vào cảnh báo cho phép bạn xem tập tin nào gây ra sự cố. Có một tùy chọn để loại bỏ các chương trình khỏi danh sách các quy trình bị chặn cùng với một cảnh báo rằng làm như vậy là một ý tưởng tồi.

Chờ đợi để phát hiện hành vi của ransomware đôi khi có thể có nghĩa là ransomware mã hóa một vài tệp trước khi chấm dứt. Khi tôi kiểm tra Malwarebytes, nó đã mất một vài tệp theo cách này. Check Point ZoneAlarm Anti-Ransomware phục hồi tích cực mọi tệp được mã hóa. Trong thử nghiệm của tôi, nó đã làm như vậy cho mọi mẫu ransomware. Tuy nhiên, RansomStopper đã dừng các mẫu tương tự mà không cho phép mã hóa bất kỳ tệp nào.

Để kiểm tra sự tỉnh táo nhanh chóng, tôi đã khởi chạy một chương trình ransomware giả đơn giản mà tôi tự viết. Tất cả những gì nó làm là tìm kiếm các tệp văn bản trong và bên dưới thư mục Tài liệu và mã hóa chúng. Nó sử dụng một mật mã đơn giản, có thể đảo ngược, do đó, lần chạy thứ hai sẽ khôi phục các tệp. RansomStopper đã bắt được nó và ngăn chặn sự di chuyển của nó. Càng xa càng tốt.

Thận trọng, Ransomware trực tiếp

Cách chắc chắn duy nhất để kiểm tra bảo vệ ransomware dựa trên hành vi là sử dụng ransomware trực tiếp. Tôi làm điều này rất thận trọng, cô lập hệ thống kiểm tra máy ảo của tôi khỏi mọi thư mục dùng chung và từ internet.

Thử nghiệm này có thể gây khó khăn nếu sản phẩm chống ransomware không phát hiện ra, nhưng thử nghiệm RansomStopper của tôi đã diễn ra suôn sẻ. Giống như ZoneAlarm và Malwarebytes, RansomStopper đã bắt được tất cả các mẫu và tôi không tìm thấy bất kỳ tệp nào được mã hóa trước khi phát hiện hành vi bắt đầu. Cyberory RansomFree đã làm khá tốt, nhưng nó đã bỏ lỡ một.

Tôi cũng thử nghiệm bằng RanSim của KnowBe4, một tiện ích mô phỏng 10 loại tấn công ransomware. Thành công trong thử nghiệm này là thông tin hữu ích, nhưng thất bại có thể chỉ đơn giản có nghĩa là phát hiện dựa trên hành vi xác định chính xác rằng các mô phỏng không phải là ransomware thực sự. Giống như RansomFree, RansomStopper đã bỏ qua các mô phỏng.

Thời gian khởi động đã được giải quyết

Giữ dưới radar là một vấn đề lớn đối với ransomware. Khi có thể, nó âm thầm thực hiện hành vi bẩn thỉu của mình, chỉ tiếp tục với yêu cầu tiền chuộc sau khi mã hóa các tệp của bạn. Có đặc quyền của quản trị viên giúp công việc của ransomware dễ dàng hơn, nhưng đến thời điểm đó thường cần có sự cho phép của người dùng. Có cách giải quyết để có được những đặc quyền đó âm thầm. Chúng bao gồm sắp xếp để cõng trên quy trình Winlogon khi khởi động hoặc đặt tác vụ theo lịch trình cho thời gian khởi động. Thông thường, ransomware chỉ sắp xếp để khởi chạy khi khởi động và sau đó buộc khởi động lại, mà không thực hiện bất kỳ nhiệm vụ mã hóa nào.

Trong thử nghiệm trước đây của tôi, tôi thấy rằng ransomware có thể mã hóa các tệp tại thời điểm khởi động trước khi RansomStopper khởi động. Chương trình mã hóa giả của riêng tôi đã quản lý được kỳ tích đó. Nó mã hóa tất cả các tệp văn bản trong và bên dưới thư mục Tài liệu, bao gồm các tệp văn bản mồi của RansomStopper. (Có, các tệp đó nằm trong một thư mục mà RansomStopper tích cực ẩn, nhưng tôi có các phương thức của tôi.) Nó cũng bỏ lỡ một mẫu ransomware trong thế giới thực mà tôi đặt để khởi chạy khi khởi động.

Các nhà thiết kế của CyberSight đã thử nghiệm một số giải pháp cho vấn đề này và phát hành một phiên bản mới đi trước phần mềm ransomware thời gian khởi động. Tôi đã thử nó; nó hoạt động, loại bỏ một đốm trên kết quả kiểm tra hiện tại của RansomStopper.

RansomFree chạy như một dịch vụ, vì vậy nó hoạt động trước mọi quy trình thông thường. Khi tôi thực hiện thử nghiệm tương tự, thiết lập một mẫu ransomware trong thế giới thực để khởi chạy khi khởi động, RansomFree cũng bắt được nó. Malwarebytes cũng đã vượt qua bài kiểm tra này. RansomBuster đã phát hiện cuộc tấn công thời gian khởi động và khôi phục các tệp bị ảnh hưởng.

Để tìm hiểu thêm về vấn đề này, tôi đã lấy một mẫu ransomware Petya gây rắc rối vào đầu năm nay. Chủng đặc biệt này làm hỏng hệ thống và sau đó mô phỏng sửa chữa thời gian khởi động bằng CHKDSK. Những gì nó thực sự đang làm là mã hóa ổ cứng của bạn. Malwarebytes, RansomFree và RansomBuster đều thất bại trong việc ngăn chặn cuộc tấn công này. RansomStopper đã bắt được nó trước khi nó có thể khiến hệ thống gặp sự cố ấn tượng! ZoneAlarm cũng ngăn chặn cuộc tấn công của Petya. Để công bằng cho những người khác, đây không phải là một ransomware mã hóa tập tin điển hình. Thay vào đó, nó khóa toàn bộ hệ thống bằng cách mã hóa ổ cứng.

Truy vấn danh bạ của tôi, tôi đã học được rằng các cuộc tấn công ransomware thời gian khởi động, bao gồm cả Petya, đang trở nên ít phổ biến hơn. Mặc dù vậy, tôi đã thêm bài kiểm tra này vào tiết mục của mình.

Kỹ thuật khác

Phát hiện dựa trên hành vi, khi được thực hiện đúng cách, là một cách tuyệt vời để chống lại ransomware. Tuy nhiên, đó không phải là cách duy nhất. Trend Micro RansomBuster và Bitdefender Antivirus Plus nằm trong số những ứng dụng ransomware bằng cách kiểm soát truy cập tệp. Chúng ngăn các chương trình không tin cậy thực hiện bất kỳ thay đổi nào đối với các tệp trong các thư mục được bảo vệ. Nếu một chương trình không đáng tin cậy cố gắng sửa đổi các tệp của bạn, bạn sẽ nhận được thông báo. Thông thường, bạn có tùy chọn để thêm chương trình chưa biết vào danh sách đáng tin cậy. Điều đó có thể hữu ích nếu chương trình bị chặn là trình soạn thảo văn bản hoặc ảnh mới của bạn. Panda Internet Security thậm chí còn đi xa hơn, ngăn chặn các chương trình không tin cậy thậm chí đọc dữ liệu từ các tệp được bảo vệ.

Kẻ gian ransomware cần lưu ý rằng chúng sẽ có thể giải mã các tệp khi nạn nhân thanh toán. Mã hóa các tệp nhiều lần có thể can thiệp vào quá trình khôi phục, do đó, hầu hết bao gồm một dấu hiệu nào đó để ngăn chặn cuộc tấn công thứ hai. Bitdefender Anti-Ransomware tận dụng kỹ thuật đó để đánh lừa các gia đình ransomware cụ thể nghĩ rằng họ đã tấn công bạn. Tuy nhiên, xin lưu ý rằng kỹ thuật này không thể thực hiện được về các loại ransomware hoàn toàn mới.

Khi Webroot SecureAnywhere AntiVirus gặp phải một quy trình không xác định, nó bắt đầu ghi nhật ký tất cả hoạt động theo quy trình đó và gửi dữ liệu lên đám mây để phân tích. Nếu quy trình được chứng minh là phần mềm độc hại, Webroot sẽ khôi phục mọi thứ nó đã làm, thậm chí khôi phục hoạt động của ransomware. ZoneAlarm và RansomBuster có các phương thức riêng để khôi phục các tệp. Khi thành phần chống ransomware của Acronis True Image giết chết một cuộc tấn công ransomware, nó có thể khôi phục các tệp được mã hóa từ bản sao lưu an toàn của chính nó nếu cần.

Bây giờ là một người chiến thắng

CyberSight RansomStopper đã phát hiện và chặn tất cả các mẫu ransomware trong thế giới thực của tôi mà không mất bất kỳ tệp nào. Nó cũng phát hiện ra trình giả lập ransomware mã hóa đơn giản của tôi. Và nó đã chặn một cuộc tấn công của Petya, nơi một số sản phẩm cạnh tranh thất bại.

Trước đó, RansomStopper đã thể hiện một lỗ hổng đối với ransomware chỉ chạy khi khởi động, nhưng các nguồn của tôi nói rằng kiểu tấn công này đang trở nên ít phổ biến hơn và từ đó CyberSight đã khắc phục vấn đề này. Các sản phẩm miễn phí khác có vấn đề riêng của họ. RansomFree đã bỏ lỡ một mẫu trong thế giới thực và Malwarebytes để một mẫu khác mã hóa một cách không thể đảo ngược một vài tệp trước khi phát hiện ra.

RansomStopper và Check Point ZoneAlarm Anti-Ransomware là những lựa chọn hàng đầu của chúng tôi để bảo vệ ransomware chuyên dụng. ZoneAlarm không miễn phí, nhưng ở mức 2, 99 đô la mỗi tháng, nó cũng không quá đắt. Tuy nhiên, RansomStopper quản lý bảo vệ hoàn toàn miễn phí.