Hvis dit antivirusprogram ikke fanger en trojan, der stjæler data, kan du få et nyt kreditkort.
Hvis en faktisk virus kommer forbi forsvaret, skal et aggressivt oprydningsværktøj tage sig af problemet.
Men hvis din antivirus går glip af et ransomware-angreb, mister du muligvis alle dine dokumenter eller endda mister adgang til din computer.
Det er her, Cybereason's RansomFree kommer ind.
Dette gratis, dedikerede ransomware-beskyttelsesværktøj fungerer sammen med din eksisterende antivirussoftware.
Det fokuserer 100 procent på at opdage og forhindre ransomware-angreb ved at se efter adfærd, der er fælles for disse angreb.
Ved testning med ubehagelige, virkelige malware-prøver får det jobbet gjort.
Medlemmer af Cybereason-teamet fik deres træning i eliteenhed 8200 fra det israelske efterretningskorps, et team dedikeret til cybersikkerhed.
De skar tænderne på cyberangreb på militært niveau, og de leverer nu avanceret forsvar til større virksomheder, herunder SoftBank, Vizio og Lockheed Martin.
Da ransomware-epidemien begyndte at sætte flere forbrugere i fare, besluttede virksomhedens administrerende direktør at udtrække ransomware-komponenten fra den fulde Cybereason-sikkerhedssuite og give den ransomware-beskyttelse til forbrugerne gratis.
Små virksomheder kan også bruge det; større virksomheder bør overveje Cybereason-tjenesten i fuld skala.
Umiddelbart efter installationen begynder RansomFree at beskytte dit system mod ransomware.
Det kører i baggrunden og holder øje med adfærd, der er specifik for ransomware.
Som en del af denne proces opretter den "lokkemad" -filer primært som Desktop og mappen Documents.
Der er ingen antivirussignaturer; RansomFree er afhængig af adfærdsbaseret detektion.
Attack of the Ransomware
RansomFree var blandt de første ransomware-specifikke sikkerhedsværktøjer, som jeg gennemgik sidste år.
På det tidspunkt havde jeg kun et par virkelige prøver plus håndmodificerede varianter af dem.
Jeg har nu et halvt dusin prøver, der dækker forskellige ransomware-familier.
RansomFree opdagede og blokerede dem alle.
Når det ser en proces, der fungerer som ransomware, suspenderer RansomFree denne proces og viser en stor advarsel.
Du klikker på Ja for at afslutte processen og rydde op i eventuelle problemer.
Du kan også klikke på Nej, men jeg kan ikke anbefale det.
Der er et link til at se alle filer, der er oprettet, ændret eller slettet ved den fornærmende proces.
Gennemgang af denne info kunne jeg for eksempel se, at en angriber oprettede en eksekverbar fil med et tilfældigt navn lige i mappen Dokumenter og vendte kontrollen over til det program.
En anden slettede sin tilstedeværelse på disken efter indlæsning i hukommelsen.
I nogle tilfælde dukkede RansomFree op to eller endda tre gange; Jeg har altid klikket på Ja.
Efter afslutningen advarede den om, at ransomware muligvis har efterladt en løsesumnote eller anden skade, som du skal rydde op manuelt.
Faktisk fandt jeg løsepenge i et par tilfælde.
Jeg er stødt på et par produkter, der ikke kunne forhindre et ransomware-angreb, der blev lanceret ved opstart af Windows.
IObit Advanced SystemCare Ultimate er et eksempel, ligesom den gratis CyberSight RansomStopper.
Da jeg konfigurerede en ransomware-prøve, der skulle starte ved opstart, havde RansomFree ingen problemer med at opdage og afslutte den.
Jeg har en lille, simpel ransomware-simulator til rådighed, et program jeg selv skrev.
Alt det gør er at finde tekstfilerne i mappen Dokumenter og anvende XOR-kryptering på dem.
Denne teknik vender simpelthen alle de ene bits til nul og alle nul bitene til en; ved at anvende det en anden gang dekrypteres filen.
Dette viste sig at være for simpelt for RansomFree at lægge mærke til, og det er faktisk ikke virkelig ødelæggende.
En hel del andre konkurrerende værktøjer ignorerede min FakeCryptor, blandt dem Acronis og CryptoDrop Anti-Ransomware.
Disk Encryption Ransomware
Den mest almindelige type ransomware krypterer dine vigtige filer, men lader computeren fungere.
Det giver perfekt mening, fordi offeret har brug for internet- og computeradgang for at betale løsesummen.
Der er dog en anden, mindre almindelig type, der udfører hele diskkryptering og effektivt murer enheden, indtil du betaler op.
Den berygtede Petya-ransomware er sådan, og det er lykkedes mig at snare en Petya-prøve.
Behavior-baserede ransomware-beskyttelsesværktøjer beskytter ikke nødvendigvis mod denne type angreb.
Af de fire andre produkter, jeg har testet, siden jeg fik Petya-prøven, forhindrede Acronis og RansomStopper et Petya-angreb, men Malwarebytes Anti-Ransomware Beta og CryptoDrop gjorde det ikke.
Et blogindlæg fra Cybereason fik mig til at tro, at RansomFree måske stoppede Petya.
Men da jeg lancerede min prøve, fortsatte den med at nedbryde systemet og køre en foregående lavt niveau diskreparation ved genstart.
I virkeligheden krypterede den disken og reparerede den ikke.
Det er værd at bemærke, at disk-krypterende ransomware er meget mindre almindeligt end den filkrypterende type, og at dit antivirus sandsynligvis ville fange det, før det kunne skade.
Simuleret Ransomware Conundrum
KnowBe4 er et firma, der er mere kendt for sine antiphishing-træning end for produkter, men det tilbyder den gratis RanSim Ransomware Simulator.
Uden at røre ved nogen af ??dine egne dyrebare filer simulerer RanSim de ti mest almindelige ransomware-teknikker samt to uskadelige relaterede teknikker, som ransomware-beskyttelse ikke bør blokere.
Jeg installerede RanSim på testsystemet og kørte testsekvenser med skuffende resultater.
RansomFree afholdt sig korrekt fra at blande sig med de to falske positive scenarier, men det gjorde heller ikke noget for at blokere de 10 ransomware-scenarier.
Efter noget grave, hovedskrabning og konfabulering med både Cybereason og KnowBe4, forstod jeg problemet.
RanSim placerer sine testfiler i mapper i mapper, fire niveauer under mappen Dokumenter.
Kryptering af sådanne filer uden at røre ved det faktiske indhold i mappen Dokumenter er bare ikke en adfærd, der matcher nogen reel ransomware.
Så RansomFree ignorerer det.
Acronis blokerede alle 10 scenarier, og Malwarebytes fik otte.
Andre udslettede hele testplatformen, hvilket betyder, at den ikke kunne rapportere nogen resultater.
Andre veje
Ransomware er et alvorligt problem, så det er ikke overraskende, at andre virksomheder har udtænkt deres egne metoder til at bekæmpe det.
Al malware-detektion i Webroot SecureAnywhere AntiVirus ($ 18,99 for 1-enhed på 1-årsplan hos Webroot) er baseret på adfærd, ikke kun detektion af ransomware.
Antivirus sletter straks enhver proces, der matcher en eksisterende adfærdsprofil for malware.
Hvis det ikke er 100 procent klart, at en mistænkt proces er ondsindet, journaliserer Webroot sine lokale handlinger og virtualiserer eventuelle ikke-reversible handlinger, såsom at sende information ud over internettet.
Når dens skybaserede analyse senere identificerer den mistænkte proces som malware, bruger den lokale klient journaldata til at vende alle handlinger ved denne proces, herunder reversering af krypteringshandlinger udført af ransomware.
Du skal købe den fulde Panda Internet Security ($ 24,99 hos Panda Security) for at få ransomware-beskyttelse fra Panda; det uafhængige antivirus inkluderer ikke Data Shield-komponenten.
Data Shield sigter mod at beskytte dine dyrebare dokumenter mod al uautoriseret adgang, så ransomware ikke kan kryptere dine filer, og trojanske heste kan ikke stjæle dine data.
Hvis Panda registrerer et adgangsforsøg fra et uautoriseret program, beder den dig om at tillade det.
Naturligvis giver du tilladelse til den nye tekstbehandler, du lige har installeret, men hvis anmodningen kommer ud af det blå, nægt det!
Trend Micro Antivirus + Security og Avast Internet Security er blandt de andre produkter, der folier ransomware ved at forhindre uautoriseret filændring.
De forhindrer dog ikke skrivebeskyttet adgang, som Panda gør.
Inden for værktøjer, der er specielt designet til at bekæmpe malware, bruger næsten alle adfærdsbaseret detektion.
Bitdefender Anti-Ransomware er en undtagelse; det virker ved at undergrave ransomwares egne teknikker til at undgå dobbelt kryptering, "vaccinere" systemet, så ransomware mener, at det allerede har gjort sit job.
Check Point ZoneAlarm Anti-Ransomware supplerer adfærdsbaseret detektion med et system til gendannelse af filer, der muligvis er blevet krypteret, inden detekteringen startede.
Under testningen gjorde det et perfekt stykke arbejde, endog eliminering af de spredte løsesumnoter.
Med Acronis Ransomware Protection får du 5 GB skylagring til dine følsomme filer.
Hvis ransomware krypterer en eller to filer før detektion, gendannes Acronis simpelthen fra den beskyttede sikkerhedskopi.
Hvis 5 GB viser sig utilstrækkelig, kan du altid opgradere til virksomhedens Acronis True Image backup-service, som naturligvis inkluderer anti-ransomware-komponenten.
Trend Micro RansomBuster går ud og kæmper mod ransomware på flere fronter.
Dets Folder Shield blokerer modifikation af følsomme filer, det bruger adfærdsbaseret detektion, og det gendanner filer fra sikker lagring, hvis det er nødvendigt.
Men da jeg slukkede for Folder Shield til test, savnede den adfærdsbaserede detektion flere prøver.
Seler og bælter
RansomFree er, som navnet antyder, gratis, og da vi testede det med ægte ransomware fra den virkelige verden, gjorde det tjenesten.
Det er ikke på nogen måde en universel løsning, men det er en god tilføjelse til dit universalbeskyttelsesværktøj til malware.
Jeg har installeret det på min hovedproduktions-pc, og jeg vil foreslå, at du overvejer at tilføje det eller et andet gratis ransomware-beskyttelsesværktøj for at supplere din antivirusbeskyttelse i fuld skala.
Check Point ZoneAlarm Anti-Ransomware er vores redaktørers valg til ransomware-specifik sikkerhed.
Selvom det ikke er gratis, er det heller ikke dyrt.
Det blev beskyttet mod alle vores ransomware-prøver og gendannede filer efter behov uden at strække lokkemadfiler rundt om i systemet.
