Đánh giá và đánh giá beta chống ransomware beta

Tiện ích chống vi-rút đầy đủ tính năng của bạn có thể làm rất tốt việc giữ cho PC của bạn không có phần mềm độc hại. Tuy nhiên, không ai hoàn hảo, vì vậy, thỉnh thoảng một loại virus hoặc Trojan hoàn toàn mới có thể vượt qua sự bảo vệ theo thời gian thực. Thậm chí sau đó, một bản cập nhật chống vi-rút thường làm sạch tình huống trước đó rất lâu. Nhưng nếu mối đe dọa xảy ra là mã hóa ransomware, bạn sẽ gặp rắc rối. Chắc chắn, phần mềm chống vi-rút được cập nhật có thể loại bỏ chương trình vi phạm, nhưng thiệt hại đã được thực hiện. Các tập tin của bạn vẫn được mã hóa và không thể truy cập. Malwarebytes Anti-Ransomware Beta nhằm mục đích giúp bạn giảm bớt nỗi đau này bằng cách bắt bất kỳ phần mềm ransomware nào mà phần mềm chống vi-rút của bạn bỏ lỡ.

Đừng né tránh vì "beta" trong tên. Sản phẩm miễn phí này không ngừng trong thử nghiệm beta, nhận được tất cả các công nghệ chiến đấu ransomware mới nhất từ ​​Malwarebytes. Sau đó, khi bất kỳ điểm thô nào đã được làm mịn, công ty chuyển công nghệ đó vào Malwarebytes Anti-Ransomware dành cho doanh nghiệp. Điều này làm hài lòng đội ngũ CNTT, những người thường thích công nghệ hơi cũ hơn so với tiên tiến.

Đương nhiên, bạn nhận được bảo vệ ransomware như là một phần của thay thế chống vi-rút toàn diện của công ty, Malwarebytes 3.0 Premium. Sản phẩm bảo vệ ransomware độc ​​lập hoạt động cùng với phần mềm chống vi-rút hiện có của bạn, hoạt động để bắt bất cứ thứ gì mà phần mềm chống vi-rút chính bỏ lỡ.

Phong cách bảo vệ Ransomware

Có một số cách khác nhau để các sản phẩm bảo mật thực hiện bảo vệ ransomware. Một cách liên quan đến việc kiểm soát quyền truy cập vào các vị trí được bảo vệ, các loại tệp được bảo vệ hoặc cả hai. Các chương trình tốt như các thành phần Windows và chương trình Office được bật đèn xanh. Khi một ứng dụng không xác định tìm cách truy cập, sản phẩm bảo mật sẽ cảnh báo người dùng về một cuộc tấn công ransomware có thể xảy ra. Nếu nó chỉ là một trình soạn thảo tài liệu mới, người dùng có thể lập danh sách trắng với một cú nhấp chuột; nếu đó là phần mềm ransomware, một nhấp chuột khác sẽ gửi nó để kiểm dịch.

Một số sản phẩm chỉ ngăn thay đổi các tập tin được bảo vệ. Những người khác, bao gồm IObit Malware Fighter 5 Pro và Panda Internet Security, thậm chí ngăn chặn việc đọc dữ liệu trái phép từ các tệp được bảo vệ. Kiểu bảo vệ này cũng giữ cho Trojans ăn cắp dữ liệu không hút dữ liệu riêng tư của bạn.

Có thể hình dung rằng một quy trình ransomware phức tạp có thể thực hiện hành vi bẩn thỉu của nó bằng cách lật đổ một chương trình trong danh sách trắng hoặc tìm một số cách khác để khắc phục các hạn chế truy cập. Ngay cả khi điều đó xảy ra, một sản phẩm phát hiện ransomware dựa trên hành vi của nó vẫn có thể ngăn chặn cuộc tấn công. Đó là cách Malwarebytes Anti-Ransomware hoạt động. Cyberory RansomFree có cách tiếp cận tương tự.

Bạn cũng sẽ tìm thấy các lớp bảo vệ dành riêng cho ransomware trong các sản phẩm chống vi-rút tiêu chuẩn khác nhau. Bitdefender và Trend Micro bao gồm một thành phần như vậy. Phát hiện phần mềm độc hại bằng Webroot SecureAnywhere AntiVirus hoàn toàn dựa trên hành vi và hệ thống ghi nhật ký và khôi phục của công cụ này cho các chương trình không xác định thực sự có thể đảo ngược cuộc tấn công của ransomware. Công ty cảnh báo rằng không gian có sẵn để ghi nhật ký và khôi phục là hữu hạn.

Bắt đầu với Malwarebytes

Malwarebytes Anti-Ransomware là một chương trình nhỏ, nhẹ, cài đặt trong nháy mắt. Cửa sổ chính đơn giản của nó chỉ có ba tab: Bảng điều khiển, Kiểm dịch và Loại trừ. Bảng điều khiển chỉ đơn giản xác nhận rằng bảo vệ đang hoạt động và nó cung cấp một liên kết để tắt và bật bảo vệ. Bạn sẽ không thấy bất cứ điều gì trong kiểm dịch trừ khi sản phẩm ngăn chặn một cuộc tấn công ransomware thực tế.

Tại sao bạn muốn loại trừ một tập tin khỏi sự phát hiện? Chà, đây là một sản phẩm beta và có thể hình dung rằng một sản phẩm mã hóa hợp pháp có thể bị mắc vào mạng của nó. Nếu bạn gặp phải một dương tính giả như vậy, chỉ cần giải cứu nó khỏi kiểm dịch và đưa nó vào danh sách loại trừ.

Kiểm tra bảo vệ Ransomware

Kiểm tra bảo vệ ransomware khó hơn kiểm tra bảo vệ phần mềm độc hại có mục đích chung. Các chương trình độc hại đôi khi xem các dấu hiệu thử nghiệm và nằm ở mức thấp. Mặt khác, nếu bạn không cẩn thận với các mẫu ransomware trong thế giới thực, họ có thể thoát khỏi nhà tù máy ảo của họ và gây thiệt hại thực sự.

Các sản phẩm như Panda Internet Security hoạt động bằng cách kiểm soát quyền truy cập vào tệp rất dễ kiểm tra. Tôi có các chương trình thử nghiệm nhỏ thực hiện loại bảo vệ này.

Tuy nhiên, với sự bảo vệ dựa trên hành vi, đôi khi cách duy nhất của tôi là sử dụng phần mềm ransomware thực sự, trong một môi trường được kiểm soát cẩn thận. Thử nghiệm ransomware của tôi vẫn đang phát triển. Hiện tại, tôi có ba mẫu trong thế giới thực, các mối đe dọa mà tôi tự thu thập từ các trang web nguy hiểm. Malwarebytes đã làm tốt trong bài kiểm tra thực hành của tôi.

Mẫu ransomware đầu tiên là tâm trạng. Thường xuyên, nó chỉ chạy như một quá trình nền mà không làm gì cả. Không có hành vi, không thể có phát hiện dựa trên hành vi, vì vậy Malwarebytes được thông qua cái này.

Malwarebytes bắt được con thứ hai tay đỏ, cách ly nó và yêu cầu khởi động lại để hoàn tất việc dọn dẹp. Sau khi khởi động lại, tôi quan sát thấy rằng trong quá trình phân tích hành vi của Malwarebytes, phần mềm ransomware đã quản lý để mã hóa một số tệp. Đối với tôi, đó dường như là một hậu quả tự nhiên của phát hiện dựa trên hành vi. Không có hành vi ransomware, sẽ không có phát hiện, phải không? Tuy nhiên, liên hệ của tôi tại các byte Malware nói rằng họ "đang thực sự giải quyết vấn đề này".

Mẫu thứ ba cũng trở thành con mồi của Malwarebytes. Sau khi khởi động lại, tôi đã nghĩ một lúc rằng phần mềm ransomware vẫn đang chạy, bởi vì nó hiển thị nhu cầu tiền chuộc của nó dưới dạng tệp văn bản, tài liệu HTML và hình ảnh PNG. Tuy nhiên, hóa ra ransomware chỉ đơn giản đổ các tệp đó vào thư mục khởi động, vì vậy chúng sẽ mở khi khởi động. Không có dấu vết của ứng dụng phần mềm độc hại. Ở đây, một lần nữa, phần mềm độc hại đã mã hóa một số tệp trước khi bảo vệ khởi động.

Ransomware mô phỏng

Cách hoàn toàn đáng tin cậy duy nhất để kiểm tra phát hiện ransomware dựa trên hành vi là sử dụng ransomware thực tế. Bất kỳ mô phỏng nào trùng lặp hoàn toàn hoạt động của mối đe dọa mã hóa ransomware sẽ là phần mềm độc hại. Tuy nhiên, đó không phải là lý do để hoàn toàn xóa bỏ thử nghiệm với phần mềm ransomware mô phỏng.

KnowBe4, một công ty đào tạo bảo mật, đã phát hành một công cụ miễn phí có tên RanSim, được thiết kế để kiểm tra bảo vệ ransomware của bạn. Nó chạy các mô-đun thực hiện mười kỹ thuật mã hóa ransomware phổ biến, cũng như hai kỹ thuật tương tự nhưng vô hại. Về lý thuyết, sản phẩm tốt nhất sẽ chặn tất cả các kỹ thuật ransomware và để lại những thứ vô hại.

Khi tôi thử nghiệm tính năng bảo vệ ransomware tích cực được tích hợp trong Acronis True Image 2017 thế hệ mới, nó đã chặn tất cả trừ một trong những cuộc tấn công giả lập. Tất nhiên, một bản sao lưu đầy đủ, được bọc thép chống lại sự thay đổi trái phép, là một sự trợ giúp tuyệt vời trong việc phục hồi sau cuộc tấn công của phần mềm độc hại.

RansomFree không phát hiện bất kỳ cuộc tấn công mô phỏng nào. Các nhà thiết kế của nó chỉ ra rằng các cuộc tấn công mô phỏng chỉ ảnh hưởng đến các tệp ở một số cấp độ thư mục bên dưới thư mục Tài liệu, không ở đâu khác. Không có ransomware trong thế giới thực hành xử theo cách đó.

Đối với Malwarebytes, nó chủ động bảo vệ chống lại tám trong số 10 cuộc tấn công mô phỏng, nhưng đã bỏ lỡ hai. Do các vấn đề trong việc sử dụng phần mềm ransomware mô phỏng, tôi coi đó là điểm cộng khi sản phẩm phát hiện các mô-đun của RanSim, nhưng tôi coi lỗi RanSim là không chính xác, không âm tính.

Thêm vào Arsenal của bạn

Malwarebytes Anti-Ransomware Beta đã làm tốt trong thử nghiệm thực hành đơn giản của tôi. Chắc chắn, một số ransomware đã mã hóa một vài tệp, nhưng không có sự bảo vệ, nó sẽ làm rất nhiều, tồi tệ hơn nhiều. Ransomware bảo vệ nhất thiết phải là một vấn đề của các lớp. Những gì một thành phần bị bỏ lỡ, một thành phần khác có thể bắt. Tôi đã thêm Malwarebytes vào kho tiện ích bảo vệ hệ thống sản xuất chính của mình, cùng với Norton Internet Security và Cyberory RansomFree.