Wenn Ihr Antivirus einen Trojaner, der Daten stiehlt, nicht abfängt, können Sie eine neue Kreditkarte erhalten.
Wenn ein tatsächlicher Virus seine Abwehrkräfte überwindet, sollte ein aggressives Bereinigungstool das Problem beheben.
Wenn Ihr Antivirenprogramm jedoch einen Ransomware-Angriff verpasst, verlieren Sie möglicherweise alle Ihre Dokumente oder sogar den Zugriff auf Ihren Computer.
Hier kommt Cybereasons RansomFree ins Spiel.
Dieses kostenlose, dedizierte Dienstprogramm zum Schutz von Ransomware funktioniert zusammen mit Ihrer vorhandenen Antivirensoftware.
Es konzentriert sich zu 100 Prozent auf das Erkennen und Verhindern von Ransomware-Befall, indem auf Verhaltensweisen geachtet wird, die diesen Angriffen gemeinsam sind.
Beim Testen mit fiesen, realen Malware-Beispielen wird die Aufgabe erledigt.
Mitglieder des Cybereason-Teams erhielten ihre Ausbildung in der Eliteeinheit 8200 des Israeli Intelligence Corps, einem Team, das sich der Cybersicherheit widmet.
Sie haben sich bei Cyberangriffen auf militärischer Ebene die Zähne geschnitten und liefern jetzt High-End-Verteidigung an große Unternehmen wie SoftBank, Vizio und Lockheed Martin.
Als die Ransomware-Epidemie begann, mehr Verbraucher zu gefährden, beschloss der CEO des Unternehmens, die Ransomware-Komponente aus der vollständigen Cybereason-Sicherheitssuite zu extrahieren und den Verbrauchern diesen Ransomware-Schutz kostenlos zu gewähren.
Kleine Unternehmen können es auch nutzen; Größere Unternehmen sollten den umfassenden Cybereason-Service in Betracht ziehen.
Unmittelbar nach der Installation beginnt RansomFree, Ihr System vor Ransomware zu schützen.
Es wird im Hintergrund ausgeführt und sucht nach Verhaltensweisen, die für Ransomware spezifisch sind.
Als Teil dieses Prozesses werden "Köder" -Dateien an erstklassigen Orten wie dem Desktop und dem Ordner "Dokumente" erstellt.
Es gibt keine Antivirensignaturen.
RansomFree basiert auf einer verhaltensbasierten Erkennung.
Angriff der Ransomware
RansomFree war eines der ersten Ransomware-spezifischen Sicherheitstools, die ich im letzten Jahr überprüft habe.
Zu der Zeit hatte ich nur ein paar reale Beispiele sowie handmodifizierte Varianten davon.
Ich habe jetzt ein halbes Dutzend Beispiele für verschiedene Ransomware-Familien.
RansomFree hat sie alle erkannt und blockiert.
Wenn ein Prozess erkannt wird, der sich wie Ransomware verhält, setzt RansomFree diesen Prozess aus und zeigt eine große Warnung an.
Sie klicken auf Ja, um den Vorgang zu beenden und Probleme zu beheben.
Sie können auch auf Nein klicken, aber das empfehle ich nicht.
Es gibt einen Link zum Anzeigen aller Dateien, die durch den fehlerhaften Prozess erstellt, geändert oder gelöscht wurden.
Beim Überprüfen dieser Informationen konnte ich beispielsweise feststellen, dass ein Angreifer eine ausführbare Datei mit einem zufälligen Namen direkt im Ordner "Dokumente" erstellt und die Kontrolle an dieses Programm übergeben hat.
Ein anderer löschte seine Präsenz auf der Festplatte nach dem Laden in den Speicher.
In einigen Fällen tauchte RansomFree zwei- oder sogar dreimal auf.
Ich habe immer auf Ja geklickt.
Nach Abschluss wurde gewarnt, dass die Ransomware möglicherweise einen Lösegeldschein oder einen anderen Abfall hinterlassen hat, den Sie manuell bereinigen müssen.
In der Tat fand ich in einigen Fällen Lösegeldscheine.
Ich bin auf einige Produkte gestoßen, die einen Ransomware-Angriff beim Start von Windows nicht verhindern konnten.
IObit Advanced SystemCare Ultimate ist ein Beispiel, ebenso wie der kostenlose CyberSight RansomStopper.
Als ich ein Ransomware-Beispiel für den Start beim Start konfiguriert habe, hatte RansomFree keine Probleme, es zu erkennen und zu beenden.
Ich habe einen kleinen, einfachen Ransomware-Simulator zur Hand, ein Programm, das ich selbst geschrieben habe.
Es werden lediglich die Textdateien im Ordner "Dokumente" gefunden und mit XOR-Verschlüsselung versehen.
Diese Technik dreht einfach alle Ein-Bits auf Null und alle Null-Bits auf Eins; Wenn Sie es ein zweites Mal anwenden, wird die Datei entschlüsselt.
Dies erwies sich als zu einfältig, als dass RansomFree es hätte bemerken können, und es ist in der Tat nicht wirklich destruktiv.
Nicht wenige andere konkurrierende Dienstprogramme haben meinen FakeCryptor ignoriert, darunter Acronis und CryptoDrop Anti-Ransomware.
Ransomware zur Festplattenverschlüsselung
Die häufigste Art von Ransomware verschlüsselt Ihre wesentlichen Dateien, lässt den Computer jedoch funktionsfähig.
Das ist absolut sinnvoll, da das Opfer Internet- und Computerzugang benötigt, um das Lösegeld zu bezahlen.
Es gibt jedoch einen anderen, weniger verbreiteten Typ, der die gesamte Festplattenverschlüsselung durchführt und das Gerät effektiv blockiert, bis Sie bezahlen.
Die berüchtigte Petya-Ransomware ist eine solche, und ich habe es geschafft, eine Petya-Probe zu fangen.
Verhaltensbasierte Ransomware-Schutzprogramme schützen nicht unbedingt vor dieser Art von Angriff.
Von den vier anderen Produkten, die ich seit Erhalt der Petya-Probe getestet habe, haben Acronis und RansomStopper einen Petya-Angriff verhindert, Malwarebytes Anti-Ransomware Beta und CryptoDrop jedoch nicht.
Ein Cybereason-Blogbeitrag ließ mich denken, dass RansomFree Petya aufhalten könnte.
Als ich mein Beispiel startete, stürzte das System jedoch ab und führte beim Neustart eine vorgetäuschte Festplattenreparatur auf niedriger Ebene aus.
In Wirklichkeit wurde die Festplatte verschlüsselt und nicht repariert.
Es ist erwähnenswert, dass Ransomware mit Festplattenverschlüsselung viel seltener vorkommt als der Typ mit Dateiverschlüsselung, und dass Ihr Antivirenprogramm sie höchstwahrscheinlich abfangen würde, bevor sie Schaden anrichten könnte.
Simuliertes Ransomware-Rätsel
KnowBe4 ist ein Unternehmen, das mehr für seine Antiphishing-Schulungen als für Produkte bekannt ist, bietet jedoch den kostenlosen RanSim Ransomware Simulator an.
Ohne Ihre eigenen wertvollen Dateien zu berühren, simuliert RanSim die zehn häufigsten Ransomware-Techniken sowie zwei harmlose verwandte Techniken, die der Ransomware-Schutz nicht blockieren sollte.
Ich habe RanSim auf dem Testsystem installiert und seine Testsequenzen mit enttäuschenden Ergebnissen ausgeführt.
RansomFree hat es korrekt unterlassen, die beiden falsch positiven Szenarien zu stören, aber es hat auch nichts dazu beigetragen, die 10 Ransomware-Szenarien zu blockieren.
Nach einigem Graben, Kopfkratzen und Konfabulieren mit Cybereason und KnowBe4 habe ich das Problem verstanden.
RanSim legt seine Testdateien in Ordnern in Ordnern ab, vier Ebenen unterhalb des Ordners "Dokumente".
Das Verschlüsseln solcher Dateien, ohne den tatsächlichen Inhalt des Ordners "Dokumente" zu berühren, ist kein Verhalten, das mit einer realen Ransomware übereinstimmt.
Also ignoriert RansomFree es.
Acronis blockierte alle 10 Szenarien und Malwarebytes bekam acht.
Andere haben die gesamte Testplattform ausgelöscht, was bedeutet, dass keine Ergebnisse gemeldet werden konnten.
Andere Wege
Ransomware ist ein ernstes Problem, daher ist es nicht verwunderlich, dass andere Unternehmen ihre eigenen Methoden entwickelt haben, um es zu bekämpfen.
Die gesamte Malware-Erkennung in Webroot SecureAnywhere AntiVirus (18,99 USD für 1 Gerät mit 1-Jahres-Plan bei Webroot) basiert auf dem Verhalten und nicht nur auf der Erkennung von Ransomware.
Das Antivirenprogramm löscht sofort alle Prozesse, die mit vorhandenen Malware-Verhaltensprofilen übereinstimmen.
Wenn nicht hundertprozentig klar ist, dass ein verdächtiger Prozess böswillig ist, protokolliert Webroot seine lokalen Aktionen und virtualisiert alle nicht umkehrbaren Aktionen, z.
B.
das Versenden von Informationen über das Internet.
Wenn die Cloud-basierte Analyse diesen verdächtigen Prozess später als Malware identifiziert, verwendet der lokale Client die Journaldaten, um alle Aktionen dieses Prozesses umzukehren, einschließlich der Umkehrung der von Ransomware ausgeführten Verschlüsselungsaktionen.
Sie müssen die vollständige Panda Internet Security-Suite (24,99 USD bei Panda Security) erwerben, um Ransomware-Schutz von Panda zu erhalten.
Das eigenständige Antivirenprogramm enthält nicht die Data Shield-Komponente.
Data Shield zielt darauf ab, Ihre wertvollen Dokumente vor jeglichem unbefugten Zugriff zu schützen, sodass Ransomware Ihre Dateien nicht verschlüsseln kann und Trojaner Ihre Daten nicht stehlen können.
Wenn Panda einen Zugriffsversuch eines nicht autorisierten Programms feststellt, werden Sie gefragt, ob Sie ihn zulassen möchten.
Natürlich erteilen Sie dem neuen Textverarbeitungsprogramm, das Sie gerade installiert haben, die Erlaubnis, aber wenn die Anfrage aus heiterem Himmel kommt, lehnen Sie sie ab!
Trend Micro Antivirus + Security und Avast Internet Security gehören zu den anderen Produkten, die Ransomware verhindern, indem sie unbefugte Dateimodifikationen verhindern.
Sie verhindern jedoch nicht den schreibgeschützten Zugriff wie Panda.
Im Bereich von Tools, die speziell zur Bekämpfung von Malware entwickelt wurden, verwenden fast alle eine verhaltensbasierte Erkennung.
Bitdefender Anti-Ransomware ist eine Ausnahme.
Es funktioniert, indem die eigenen Techniken der Ransomware untergraben werden, um doppelte Verschlüsselung zu vermeiden, und das System "geimpft" wird, sodass die Ransomware denkt, dass sie ihre Arbeit bereits erledigt hat.
Check Point ZoneAlarm Anti-Ransomware ergänzt die verhaltensbasierte Erkennung durch ein System zum Wiederherstellen von Dateien, die möglicherweise verschlüsselt wurden, bevor die Erkennung gestartet wurde.
Beim Testen hat es perfekte Arbeit geleistet und sogar die verstreuten Lösegeldnotizen beseitigt.
Mit Acronis Ransomware Protection erhalten Sie 5 GB Cloud-Speicher für Ihre vertraulichen Dateien.
Wenn Ransomware eine oder zwei Dateien vor der Erkennung verschlüsselt, stellt Acronis die geschützte Sicherung einfach wieder her.
Wenn sich herausstellt, dass 5 GB nicht ausreichen, können Sie jederzeit auf den Acronis True Image-Sicherungsdienst des Unternehmens aktualisieren, zu dem natürlich auch die Anti-Ransomware-Komponente gehört.
Trend Micro RansomBuster setzt alles daran, Ransomware an mehreren Fronten zu bekämpfen.
Das Folder Shield blockiert die Änderung vertraulicher Dateien, verwendet die verhaltensbasierte Erkennung und stellt bei Bedarf Dateien aus dem sicheren Speicher wieder her.
Als ich jedoch Folder Shield zum Testen deaktivierte, fehlten bei der verhaltensbasierten Erkennung mehrere Beispiele.
Hosenträger und Gürtel
RansomFree ist, wie der Name schon sagt, kostenlos, und als wir es mit realer, böser Ransomware getestet haben, hat es Ihren Dienst geleistet.
Es ist keineswegs eine universelle Lösung, aber es ist eine lohnende Ergänzung zu Ihrem allgemeinen Dienstprogramm zum Schutz vor Malware.
Ich habe es auf meinem Hauptproduktions-PC installiert, und ich würde vorschlagen, dass Sie es oder ein anderes kostenloses Dienstprogramm zum Schutz vor Ransomware hinzufügen, um Ihren umfassenden Virenschutz zu ergänzen.
Check Point ZoneAlarm Anti-Ransomware ist die Wahl unserer Redaktion für Ransomware-spezifische Sicherheit.
Es ist zwar nicht kostenlos, aber auch nicht teuer.
Es schützt bei Bedarf vor all unseren Ransomware-Beispielen und wiederhergestellten Dateien, ohne Köderdateien im System zu verteilen.
