Đánh giá và đánh giá ransomoff quốc phòng Heilig

Chắc chắn, ransomware là một vấn đề đau đầu cho các cá nhân, những người muốn mất tất cả sự tiến bộ của bạn trên cuốn tiểu thuyết vĩ đại của Mỹ? Nhưng hãy tưởng tượng mức độ tồi tệ của các doanh nghiệp, có thể mất 100.000 đô la mỗi giờ (hoặc hơn) khi ransomware khóa sản xuất. Các hệ thống bảo mật kinh doanh cao cấp cần sự bảo vệ mạnh mẽ chống lại ransomware, và đôi khi các nhà cung cấp của các hệ thống đó làm cho sự bảo vệ đó có sẵn ở cấp độ cá nhân. Đó là trường hợp với Heilig Defense Ransom Offer miễn phí, sử dụng công nghệ mượn từ Hielig Defense Correlate cao cấp.

Theo cách tương tự, Cyberory RansomFree đóng gói bảo vệ ransomware được tìm thấy trong các sản phẩm cấp doanh nghiệp của Cybreason. Tuy nhiên, trong đó RansomFree, RansomStopper và hầu hết các công cụ dành riêng cho phần mềm ransomware miễn phí khác làm giảm cài đặt và tương tác người dùng xuống mức tối thiểu, Ransom Offer bao gồm nhiều chế độ và mô-đun làm tôi bối rối.

Ransom Offer là một bản tải xuống nhỏ và cài đặt nhanh chóng. Theo mặc định, nó chạy ở Chế độ đơn giản, được mô tả là "bảo vệ rắc rối miễn phí". Bạn cũng có thể chọn Chế độ nâng cao để "giải phóng toàn bộ tiềm năng của Ransom Offer." Tôi đã sử dụng cả hai chế độ trong thử nghiệm, như bạn sẽ thấy bên dưới.

Chế độ đơn giản

Trong Chế độ đơn giản mặc định, Ransom Offer chăm sóc doanh nghiệp hoàn toàn ở chế độ nền, không có thông báo rằng nó đã chấm dứt các mối đe dọa khác ngoài một hình ảnh động ngắn của biểu tượng khu vực thông báo. Khi bạn bấm đúp vào biểu tượng, nó sẽ hiển thị một cửa sổ nhỏ với các nút để xem cảnh báo và để chuyển sang Chế độ nâng cao.

Trong chế độ này, Ransom Offer chấm dứt ransomware, nhưng nó không cố gắng dọn dẹp. Bạn luôn có thể xem những gì nó đã làm bằng cách nhấp đúp vào biểu tượng và sau đó nhấp vào Xem Cảnh báo. Danh sách các cảnh báo bao gồm các hoạt động dọn dẹp đang chờ xử lý mà bạn có thể khởi chạy thủ công.

Trong thử nghiệm, nó đã phát hiện và chấm dứt tất cả các mẫu ransomware trong thế giới thực của tôi. Tôi đã xem biểu tượng hoạt hình, kiểm tra các cảnh báo và yêu cầu dọn dẹp trong từng trường hợp. Tuy nhiên, chưa đến một nửa số mẫu kích hoạt cảnh báo Phát hiện Ransomware. Đối với phần còn lại, nó đã báo cáo Thông báo HIPS-Lite, cho tôi biết rằng chương trình vi phạm đã cố gắng tự cấu hình để khởi chạy khi khởi động.

Để kiểm tra độ tỉnh táo, tôi đã chạy một số tiện ích từ bộ sưu tập tôi duy trì để kiểm tra dương tính giả, chọn những tiện ích có chức năng yêu cầu chúng khởi chạy khi khởi động. Trong mọi trường hợp, Ransom Offer đã loại bỏ các chương trình hoàn toàn hợp pháp này. Tôi đã không quan sát loại hành vi này trong các tiện ích dành riêng cho ransomware khác. Cho rằng tính năng HPS-Lite loại bỏ cả chương trình hợp pháp và độc hại, tôi khó có thể gọi đó là phát hiện ransomware.

Chế độ nâng cao

Để khám phá thêm, tôi đã chuyển Ransom Offer sang Advanced Mode và lặp lại thử nghiệm. Hành vi của chương trình rất khác nhau trong chế độ này. Khi phát hiện ransomware, nó sẽ chiếm màn hình với cảnh báo không thể bỏ qua, xin phép bạn giải quyết vấn đề. Bạn có thể nhấp để biết thêm chi tiết trước khi quyết định. Nếu nó phát hiện sửa đổi trình tự khởi động hoặc các hành động đáng ngờ khác, nó sẽ bật lên một thông báo HIPS-Lite ít thường xuyên hơn và hỏi liệu có cho phép hoặc chặn thay đổi hay không.

Tôi lại chạy qua các mẫu, chọn Chặn ở bất kỳ cảnh báo HIPS-Lite nào. Kết quả giống như những gì tôi thấy trong Chế độ đơn giản, với một ngoại lệ rõ ràng. Có lẽ do sự chậm trễ liên quan đến việc hiển thị thông báo của nó, Ransom Offer đã cho phép một mẫu mã hóa các tệp trong thư mục Tài liệu trước khi xóa sạch nó. Tôi đã thử điều này nhiều lần, trong trường hợp đó là một con sán; nó đã không xảy ra mọi lúc, nhưng nó chắc chắn có thể lặp lại.

Tiếp theo, tôi đã thử lại các mẫu đã kích hoạt cảnh báo HIPS-Lite, chọn Cho phép lần này. Đó là một thảm họa. Nói với Ransom Offer để cho phép sửa đổi khởi động cũng khiến nó ngừng theo dõi hoạt động của ransomware. "Cách chúng tôi xem nó là vào thời điểm đó quá trình được thừa nhận đang làm một cái gì đó và người dùng đã đưa ra lựa chọn theo cách này hay cách khác, " giải thích liên hệ của tôi tại Heilig Defense. "Rốt cuộc, người dùng nên thông minh hơn phần mềm hoặc ít nhất, khiến họ phải suy nghĩ nhiều hơn một chút trước khi cho phép nó."

Tôi không thể đồng ý. Theo quan điểm của tôi, phần mềm bảo mật đặt các quyết định quan trọng vào tay người dùng trung bình là một sai lầm. Nó giống như mô hình tường lửa cá nhân cũ, khiến người dùng chịu trách nhiệm cho tất cả các quyết định về việc mỗi chương trình có được phép truy cập mạng hay không. Các công cụ bảo vệ ransomware khác thực hiện công việc mà không liên quan đến quyết định của người dùng.

Xác định để có một cái nhìn rõ ràng về khả năng của chương trình, tôi đã tắt tính năng HIPS-Lite và lặp lại thử nghiệm của mình một lần nữa. Lần này, sản phẩm đã phát hiện và chặn hành vi ransomware trong tất cả các mẫu, một kết quả rất khả quan. Tuy nhiên, một mẫu rắc rối vẫn được quản lý để mã hóa các tập tin trước khi Ransom Offer đánh cắp nó.

Thử nghiệm thêm

Thỉnh thoảng tôi gặp phải các chương trình bảo mật thất bại khi ransomware khởi chạy khi khởi động. Tôi xin nói rằng Ransom Offer không phải là một trong số đó. Khi tôi tự đặt một vài mẫu để khởi chạy khi khởi động Windows, nó đã chặn chúng một cách hiệu quả.

Để kiểm tra độ chính xác cơ bản, tôi đã viết một chương trình nhỏ mã hóa tất cả các tệp văn bản trong thư mục Tài liệu bằng mã hóa XOR có thể đảo ngược. Nhiều tiện ích bảo vệ ransomware không phát hiện ra chương trình này, bởi vì không có phần mềm ransomware thực tế nào sẽ mã hóa theo kiểu đơn giản này. Nhưng Ransom Offer đã bắt được nó.

Tôi cũng đã tải lên trình giả lập ransomware RanSim từ KnowBe4. Công cụ này mô phỏng 10 kỹ thuật được sử dụng bởi ransomware thực tế, cùng với hai hoạt động mã hóa vô hại. Trong Chế độ đơn giản, tôi thậm chí không thể cài đặt nó, vì Ransom Offer đã xóa sạch nó. Thử lại trong Chế độ nâng cao với HIPS-Lite đã tắt, tôi đã quản lý cài đặt thành công.

Trong khi tiện ích thử nghiệm chạy qua các kịch bản của nó, tôi đã trả lời 11 cảnh báo phát hiện của Ransom Offer. Khi kết thúc thử nghiệm, RanSim đã báo cáo việc ngăn chặn thành công tất cả 10 hoạt động ransomware mô phỏng, cùng với một trong những kịch bản vô hại. Acronis Ransomware Protection ghi điểm chính xác như nhau. Chặn tất cả 10 cuộc tấn công mô phỏng là một điểm cộng lớn; một dương tính giả là một điểm trừ nhỏ.

Các tính năng bảo vệ Ransomware ưa thích

Tôi đã quen với các công cụ bảo vệ ransomware không quá phô trương, chúng hầu như không có cửa sổ chính và đôi khi không có cài đặt cấu hình nào cả. RansomPack trong Chế độ nâng cao là một sự khởi đầu, với một số tính năng ưa thích mà tôi chỉ có thể hiểu được bằng cách đào sâu vào tài liệu.

Khóa ứng dụng

App Lockdown là một hệ thống bảo vệ dựa trên danh sách trắng, được tắt theo mặc định, với một số chế độ hoạt động. Trong chế độ Tất cả quy trình nghiêm ngặt, bạn sẽ phải OK mọi quy trình khởi chạy trừ khi nó đã được miễn. Nới lỏng chế độ Quy trình mới, Ransom Offer chỉ yêu cầu xác minh lần đầu tiên một quy trình chạy trong phiên Windows. Bạn có thể cắt giảm các cửa sổ bật lên bằng cách miễn các quy trình Windows, các tệp chương trình được ký điện tử hoặc cả hai.

Tôi đã bật Khóa ứng dụng trong chế độ Tất cả quy trình và khởi chạy Chrome. Tôi đã phải OK năm quy trình riêng biệt, nhưng trong lần ra mắt tiếp theo, các quy trình đó đã được miễn. Người dùng am hiểu công nghệ có thể định cấu hình Khóa ứng dụng để tự động kích hoạt khi quá trình được chỉ định tải và tùy chọn hủy kích hoạt khi quá trình đó đóng lại. Cài đặt trước Web Lockdown cấu hình Khóa ứng dụng để kích hoạt khi cửa sổ trình duyệt hoạt động, giống như cách VoodooSoft VoodooShield hoạt động.

Sao lưu và khôi phục

Tính năng Sao lưu và Khôi phục, được bật theo mặc định, nhằm sao lưu các tệp bị đe dọa và, nếu cần, khôi phục chúng sau khi hoạt động của ransomware. Theo tài liệu này, "Ransom Offer sẽ tạo một bản sao của tệp dựa trên một số hành động nhất định và lưu nó vào không gian được bảo vệ." Nó cung cấp nhiều phương thức khôi phục, trong số đó chọn một quy trình để khôi phục các thay đổi đã thực hiện và tìm kiếm các tệp cần khôi phục, cũng như một tùy chọn để xóa các tệp Ransom Offer có thể đã bị xóa do lỗi. Trong thử nghiệm của tôi, tôi chưa bao giờ thấy tính năng này hoạt động; nó không giúp được gì với một mẫu ransomware phiền phức đã mã hóa tài liệu của tôi.

Tính năng khôi phục trong Check Point ZoneAlarm Anti-Ransomware tỏ ra đơn giản và hiệu quả hơn. Trong mọi trường hợp, nó đã đề nghị khôi phục bất kỳ tệp được mã hóa nào và đã thực hiện thành công. Lỗi duy nhất của nó trong kiểm tra liên quan đến báo cáo thất bại một lần khi nó thực sự thành công.

Acronis Ransomware Protection có một cách tiếp cận khác để sao lưu. Nó tạo ra một bản sao lưu đám mây được mã hóa của các tệp trong các thư mục được bảo vệ của bạn, trị giá tới 5 GB và phục hồi bất kỳ tệp nào bị ransomware làm hỏng sau khi loại bỏ mối đe dọa.

Bảo vệ thư mục

Nhấp vào Thư mục sẽ hiển thị bảo vệ dựa trên quyền của Ransom Offer cho các thư mục bạn chỉ định. Giống như Bitdefender Antivirus Plus, Trend Micro và một vài thứ khác, nó có thể ngăn các chương trình trái phép sửa đổi các tệp, nhưng nó cung cấp một số tùy chọn khác. Bạn có thể từ chối tất cả quyền truy cập vào các tệp trong thư mục được bảo vệ, ẩn sự tồn tại của các tệp đó hoặc chặn khởi chạy các tệp thực thi khỏi vị trí được bảo vệ. Cái cuối cùng này rất hữu ích để chống lại các mối đe dọa như TeslaCrypt, loại bỏ một tệp thực thi có tên ngẫu nhiên trong thư mục Documents và khởi chạy nó.

Một cách khó hiểu, bạn quản lý bảo vệ bằng cách thêm các thư mục vào một trong năm danh sách khác nhau: Từ chối, Lừa dối, Ẩn, Chỉ đọc và Không Thực thi. Một thư mục chỉ có thể chiếm một trong những danh sách này tại một thời điểm. Để bắt đầu, tôi đã thêm thư mục Tài liệu vào danh sách Từ chối. Điều này sẽ từ chối cả quyền truy cập đọc và ghi vào các tệp được bảo vệ, giống như tính năng tương tự trong Panda Internet Security. Tuy nhiên, nó không làm gì để ngăn một trình soạn thảo nhỏ mà tôi tự viết và đọc các tệp.

Hóa ra tôi đã không chú ý đúng mức. Màn hình hiển thị rõ ràng "Bảo vệ không được bật" bên dưới thư mục đã chọn của tôi. Bạn cũng phải thêm ít nhất một ứng dụng được miễn trừ trước khi Ransom Offer sẽ bắt đầu bảo vệ nó. Tôi đã thêm Windows Explorer vào danh sách miễn trừ, để cho phép bảo vệ. Sau đó, thư mục Documents thậm chí không hiển thị trong hộp thoại tệp mở của trình soạn thảo nhỏ của tôi.

Tôi đã chọn Change Protection và chuyển thư mục được bảo vệ của mình vào danh sách Chỉ đọc. Lần này, trình soạn thảo nhỏ của tôi đã tải thành công một tệp văn bản từ thư mục được bảo vệ, nhưng một nỗ lực lưu phiên bản đã sửa đổi đã nhận được thông báo "Lỗi ghi luồng." Điều đó thật đáng thất vọng. Trend Micro RansomBuster và một số chương trình tương tự khác báo cáo quyền truy cập đã thử và cho bạn cơ hội đưa danh sách trắng vào ứng dụng. Khi bạn vừa cài đặt một tài liệu hoặc trình chỉnh sửa ảnh mới, bạn có thể dễ dàng đưa danh sách trắng vào thời điểm này.

Trong quá trình dùng thử trình soạn thảo nhỏ của mình, tôi phát hiện ra nhiều tệp trong thư mục Tài liệu đơn giản là không xuất hiện trong Windows Explorer. Thật vậy, giống như RansomFree và CyberSight RansomStopper, Ransom Offer sử dụng các tệp "mồi" để hỗ trợ phát hiện. Nó thường che giấu chúng khỏi tầm nhìn, như RansomStopper, nhưng chúng xuất hiện trong một số tình huống.

Cần điều chỉnh

Hầu hết các tiện ích bảo vệ dành riêng cho ransomware đều được sắp xếp hợp lý, thực hiện công việc của chúng một cách lặng lẽ, không cần nhiều sự tương tác hay cấu hình của người dùng. Cài đặt một công cụ như vậy cùng với bảo vệ chống vi-rút hiện có của bạn cung cấp cho bạn lớp bảo vệ thứ cấp đơn giản. Ransom Offer phức tạp hơn nhiều so với bất kỳ đối thủ cạnh tranh nào, với các cài đặt và tính năng nâng cao gây khó khăn mà không cần đọc kỹ các tài liệu. Trong thử nghiệm, nó đã phát hiện tất cả các mẫu ransomware, nhưng hãy để một trong số chúng mã hóa các tập tin mặc dù đã phát hiện ra.

Techies có thể thích nó, nhưng hiện tại, nó quá phức tạp đối với người dùng trung bình. Về phía màu hồng, các nhà phát triển nhanh chóng khắc phục mọi sự cố, thậm chí cập nhật chương trình để khắc phục một số vấn đề trong quá trình xem xét của tôi. Tôi mong đợi một phiên bản không đòi hỏi nhiều như người dùng trung bình.

Với giao diện đơn giản hơn và khả năng phục hồi tuyệt vời, Check Point ZoneAlarm Anti-Ransomware là sự lựa chọn của ban biên tập để bảo vệ ransomware. Nếu trả tiền cho một công cụ bảo mật khác không phải là những gì bạn đã nghĩ, CyberSight RansomStopper là miễn phí, và đó cũng là một Sự lựa chọn của ban biên tập trong lĩnh vực này.