Đánh giá và đánh giá xu hướng ransombuster

Sự bùng phát ransomware BadRmus gần đây chủ yếu ảnh hưởng đến những người ở và gần Nga, không nhiều ở Mỹ, nhưng đừng để điều đó khiến bạn tự mãn. Ai biết cuộc tấn công tiếp theo sẽ xảy ra ở đâu? Bạn cần bảo vệ chống lại ransomware và phần mềm chống vi-rút của bạn có thể không đủ. Trend Micro RansomBuster cung cấp nhiều lớp bảo vệ và miễn phí cho cả sử dụng cá nhân và doanh nghiệp. Tuy nhiên, thử nghiệm của chúng tôi cho thấy rằng các lớp không có hiệu quả như nhau.

RansomBuster có sẵn dưới dạng tải xuống miễn phí và đây cũng là một thành phần trong các sản phẩm bộ phần mềm chống vi-rút và bảo mật của Trend Micro. Tương tự như vậy, Cyberory RansomFree độc ​​lập cũng là một thành phần của bộ bảo mật toàn diện của Cyberory.

Giống như RansomFree và Malwarebytes Anti-Ransomware Beta, cũng là RansomBuster miễn phí có nghĩa là được sử dụng cùng với phần mềm diệt virus tiêu chuẩn của bạn. Cả hai sản phẩm này đều tập trung vào việc phát hiện ransomware dựa trên hành vi của nó; RansomFree ném các tập tin mồi vào các vị trí chiến lược để giúp phát hiện ra nó, như tôi sẽ giải thích. RansomBuster cũng bao gồm phát hiện dựa trên hành vi, nhưng đó chỉ là một trong những kỹ năng của nó.

Nếu RansomBuster phát hiện ngay cả một khả năng mờ nhạt của hoạt động ransomware, thì nó sẽ sao lưu an toàn các tệp bị ảnh hưởng. Tại thời điểm mà khả năng trở thành một điều chắc chắn, nó chấm dứt ransomware và sử dụng bản sao lưu để khôi phục bất kỳ tệp nào bị ảnh hưởng trong quá trình phân tích. Check Point ZoneAlarm Anti-Ransomware khôi phục các tệp bị ảnh hưởng theo cách tương tự.

Một cách rất đơn giản để ngăn ransomware mã hóa các tệp trong thư mục Tài liệu của bạn (hoặc các thư mục nhạy cảm khác) là chỉ cần cấm tất cả sửa đổi bởi các chương trình trái phép. Bạn vẫn sử dụng trình xử lý văn bản hoặc trình chỉnh sửa hình ảnh đáng tin cậy như mọi khi, nhưng thành phần Thư mục Khiên ngăn không cho bất kỳ chương trình nào không biết. Bitdefender Antivirus Plus bao gồm một tính năng tương tự, trong khi Panda Internet Security thậm chí cấm những người không biết đọc tệp của bạn.

Bắt đầu với RansomBuster

Cài đặt nhanh chóng và đơn giản. Sau khi cài đặt, chương trình sẽ nhắc bạn chọn thư mục nào bạn muốn bảo vệ. Thư mục Tài liệu được chọn trước theo mặc định, nhưng đừng quá hoang dã khi thêm nhiều thư mục. Bạn sẽ nhanh chóng biết rằng phiên bản miễn phí này chỉ có thể bảo vệ hai thư mục. Đó dường như là một hạn chế lớn lúc đầu. Sau đó, tôi nhận ra rằng chỉ cần chọn thư mục C: \ Users sẽ bảo vệ hầu hết các tài liệu quan trọng của bạn.

Chọn các thư mục đó là tùy chọn cấu hình duy nhất; đây là một chương trình rất đơn giản, tập trung. Khi bạn đã lựa chọn, RansomBuster chỉ chạy trong nền, không yêu cầu tương tác thêm trừ khi nó gặp phải một cuộc tấn công.

Kiểm tra lá chắn thư mục

Để kiểm tra sự tỉnh táo nhanh chóng, tôi đã khởi chạy một trình soạn thảo văn bản nhỏ mà tôi tự viết. Chương trình này không tồn tại nhưng trên PC thử nghiệm của tôi, vì vậy nó chắc chắn đủ điều kiện là một chương trình không xác định. Tôi đã cố gắng sửa đổi một số tệp văn bản trong thư mục Tài liệu. RansomBuster báo cáo khá chính xác quyền truy cập trái phép, cho tôi tùy chọn chặn quyền truy cập đó hoặc thêm chương trình vào danh sách đáng tin cậy. Sau một thời gian ngắn, nó tự động chọn tùy chọn khối. Điều tương tự cũng xảy ra khi tôi thử một chương trình mã hóa đơn giản, mô phỏng hành vi mã hóa ransomware.

Tiếp theo, tôi mang ra sáu khẩu súng ransomware thế giới thực. Ban đầu, mọi thứ có vẻ tốt. Thư mục Shield đã chặn năm trong số các mẫu, trong khi phát hiện dựa trên hành vi đã bắt được lần thứ sáu trước khi nó thậm chí có thể kích hoạt phản ứng từ Thư mục Shield. Tôi đã quan sát thấy rằng nếu bạn vô tình chọn tin tưởng một chương trình hóa ra là ransomware, thì hệ thống phát hiện dựa trên hành vi cũng bỏ qua nó. Đọc các thông báo đó một cách cẩn thận và chỉ tin tưởng các chương trình mà bạn chắc chắn.

Nhìn kỹ hơn cho thấy mọi thứ không hoàn toàn hỗn loạn. Một trong những mẫu ransomware đã mã hóa một tệp trong một thư mục trên Bàn làm việc trước khi bị bắt bởi Thư mục Khiên, vì Máy tính để bàn không được bảo vệ. Một tệp khác được mã hóa một tá tệp trong và bên dưới thư mục Desktop và bỏ các ghi chú tiền chuộc vào một vài trong số chúng. Tôi đã quan sát thấy rằng các tập tin bị ảnh hưởng là loại hầu hết sẽ xem xét ít quan trọng hơn. Chúng bao gồm các phím tắt, tệp Trợ giúp, tệp nhật ký và một vài tệp CSV. Địa chỉ liên hệ của tôi tại Trend Micro đã xác nhận rằng những loại đó không nằm trong số gần 40 loại tệp mà hệ thống phát hiện dựa trên hành vi theo dõi.

Kiểm tra phát hiện dựa trên hành vi

Thư mục Shield chỉ có thể bảo vệ nội dung của hai thư mục, nhưng hệ thống phát hiện dựa trên hành vi nhằm đánh dấu hành vi giống như ransomware bất kể nó xảy ra ở đâu. Để kiểm tra cụ thể để phát hiện dựa trên hành vi, tôi đã vô hiệu hóa Thư mục Khiên và lặp lại các thử nghiệm ransomware trong thế giới thực của tôi. Kết quả không đẹp.

RansomBuster đã lấy được ba trong số sáu mẫu. Nó gọi một trong số họ là đáng ngờ, và chấm dứt nó trước khi nó có thể thực hiện bất kỳ hành động bất chính nào. Nó xác định hai cái kia là ransomware, liệt kê các tệp đã được mã hóa và báo cáo phục hồi thành công.

Tuy nhiên, ba mẫu còn lại chạy tràn lan, mã hóa các tệp phải và trái và hiển thị các ghi chú tiền chuộc của chúng, tất cả đều không có một cái nhìn từ RansomBuster. Đã thử nghiệm với các mẫu tương tự, ZoneAlarm đã phát hiện tất cả sáu và khôi phục tất cả các tệp. Lỗi duy nhất của ZoneAlarm? Trong một trường hợp, nó đã báo cáo rằng nó không thể khôi phục tất cả các tệp, trong khi sự thật nó đã không thành công.

Bảo vệ ransomware được tích hợp trong Acronis True Image đã phát hiện tất cả trừ một trong các mẫu, khôi phục mọi tệp bị ảnh hưởng từ bản sao lưu trực tuyến an toàn của nó. RansomFree cũng phát hiện tất cả trừ một. Malwarebytes đã phát hiện ra tất cả, nhưng trong một trường hợp, ransomware đã mã hóa một vài tệp trước khi bị vô hiệu hóa.

Kết quả hỗn hợp

Tôi đánh giá cao việc Trend Micro cung cấp RansomBuster miễn phí. Tôi chỉ muốn nó làm việc tốt hơn. Thư mục Shield có hiệu quả, nhưng trong thử nghiệm phát hiện dựa trên hành vi đã không làm tốt. Nếu bạn là một người hâm mộ Trend Micro lớn, bạn có thể xem xét nó. Nhưng nếu bạn là một người hâm mộ Trend Micro lớn, có lẽ bạn đã có sự bảo vệ này trong bộ phần mềm chống vi-rút hoặc bảo mật của bạn.

Sự lựa chọn của ban biên tập của chúng tôi để bảo vệ ransomware là ZoneAlarm Anti-Ransomware. Nó không miễn phí, nhưng ở mức 2, 99 đô la mỗi tháng, nó sẽ không phá vỡ ngân hàng và nó đã bảo vệ thành công trước tất cả các mẫu ransomware trong thế giới thực của chúng tôi. Bản Beta Malwarebytes Anti-Ransomware miễn phí cũng đã phát hiện tất cả các mẫu, mặc dù nó bị mất một vài tệp để mã hóa, và Cyberory RansomFree đã phát hiện và chặn thành công tất cả trừ một mẫu. Nếu bạn muốn tăng cường bảo vệ ransomware ngoài những gì được tích hợp trong phần mềm chống vi-rút của bạn, một trong những tiện ích này là lựa chọn tốt hơn.