Votre antivirus ou suite de sécurité doit vraiment vous protéger contre les ransomwares, ainsi que tous les autres types de logiciels malveillants.
Il peut y avoir une erreur occasionnelle avec une attaque jamais vue auparavant, mais ces inconnues deviennent rapidement connues.
Malheureusement, la suppression a posteriori des ransomwares laisse toujours vos fichiers cryptés.
C'est pourquoi vous voudrez peut-être ajouter un utilitaire de protection contre les ransomwares à votre arsenal.
Le logiciel gratuit CyberSight RansomStopper a arrêté les ransomwares du monde réel lors des tests, et la dernière mise à jour gère les ransomwares qui ne s'exécutent qu'au démarrage.
RansomStopper est assez similaire à Cybereason RansomFree, Trend Micro RansomBuster et Malwarebytes Anti-Ransomware Beta.
Tous les quatre sont gratuits et détectent tous les ransomwares en fonction de leur comportement.
Puisqu'ils reposent sur le comportement, peu importe que le ransomware soit une ancienne quantité connue ou une attaque zero-day qui vient d'être créée.
Comme RansomFree, RansomStopper utilise des fichiers d'appât dans le cadre de sa méthodologie de détection.
Cependant, RansomStopper cache ses fichiers d'appâts à l'utilisateur.
Commencer
L'installation s'est déroulée rapidement dans mes tests.
Après le téléchargement, j'ai terminé le processus en saisissant mon prénom, mon nom et mon adresse e-mail.
Une fois que j'ai répondu à l'e-mail de confirmation, le produit était opérationnel.
Contrairement à ZoneAlarm Anti-Ransomware et à d'autres, il a fallu un redémarrage pour être pleinement opérationnel.
La fenêtre principale simple du produit indique que "Vous êtes protégé contre les ransomwares".
Les boutons en bas vous permettent d'afficher les alertes de sécurité, les processus que RansomStop a bloqués et les processus que vous avez choisi d'autoriser.
Un autre bouton vous permet de vérifier les mises à jour, si vous n'avez pas sélectionné les mises à jour automatiques lors de l'installation.
Simple!
CyberSight propose également une édition professionnelle.
Les fonctionnalités ajoutées incluent des alertes par e-mail, une administration centralisée et des rapports détaillés.
L'édition professionnelle coûte 29,99 $ pour une seule licence, bien que le prix tombe à 10 $ par siège avec une licence en volume.
Protection contre les ransomwares
Lorsque RansomStopper détecte une attaque de ransomware, il met fin au processus incriminé et affiche un avertissement dans la zone de notification.
Cliquez sur l'avertissement pour voir quel fichier a causé le problème.
Il existe une option pour supprimer des programmes de la liste des processus bloqués, ainsi qu'un avertissement indiquant que cela est une mauvaise idée.
Attendre la détection d'un comportement de ransomware peut parfois signifier que le ransomware crypte quelques fichiers avant la résiliation.
Lorsque j'ai testé Malwarebytes, il a perdu quelques fichiers de cette façon.
Check Point ZoneAlarm Anti-Ransomware (39,95 $ facturés annuellement chez ZoneAlarm) récupère activement tous les fichiers cryptés.
Lors de mes tests, il l'a fait pour chaque échantillon de ransomware.
Cependant, RansomStopper a arrêté les mêmes échantillons sans autoriser le chiffrement d'aucun fichier.
Pour une vérification rapide de la cohérence, j'ai lancé un simple faux programme de ransomware que j'ai écrit moi-même.
Il ne fait que rechercher des fichiers texte dans et sous le dossier Documents et les crypter.
Il utilise un chiffrement simple et réversible, donc une deuxième exécution restaure les fichiers.
RansomStopper l'a attrapé et a empêché sa chicane.
Jusqu'ici tout va bien.
Attention, Ransomware en direct
Le seul moyen sûr de tester la protection contre les ransomwares basée sur le comportement consiste à utiliser des ransomwares en direct.
Je fais cela très prudemment, en isolant mon système de test de machine virtuelle de tous les dossiers partagés et d'Internet.
Ce test peut être pénible si le produit anti-ransomware échoue à sa détection, mais mon test RansomStopper s'est bien déroulé.
Comme ZoneAlarm et Malwarebytes, RansomStopper a capturé tous les échantillons, et je n'ai trouvé aucun fichier crypté avant que la détection comportementale ne démarre.
Cybereason RansomFree a plutôt bien fonctionné, mais il en a manqué un.
Je teste également en utilisant RanSim de KnowBe4, un utilitaire qui simule 10 types d'attaques de ransomware.
La réussite de ce test est une information utile, mais l'échec peut simplement signifier que la détection basée sur le comportement a correctement déterminé que les simulations ne sont pas de véritables ransomwares.
Comme RansomFree, RansomStopper a ignoré les simulations.
Danger au démarrage résolu
Rester sous le radar est un gros problème pour les ransomwares.
Lorsque cela est possible, il fait ses sales actes en silence, ne présentant sa demande de rançon qu'après avoir chiffré vos fichiers.
Avoir des privilèges d'administrateur facilite le travail des ransomwares, mais pour y parvenir, il faut généralement l'autorisation de l'utilisateur.
Il existe des solutions de contournement pour obtenir ces privilèges en silence.
Celles-ci incluent la possibilité de se greffer sur le processus Winlogon au moment du démarrage ou de définir une tâche planifiée pour le démarrage.
En règle générale, le ransomware s'arrange simplement pour se lancer au démarrage, puis force un redémarrage, sans effectuer aucune tâche de chiffrement.
Lors de mes tests précédents, j'ai découvert que les ransomwares pouvaient crypter les fichiers au moment du démarrage avant que RansomStopper n'entre en jeu.
Mon propre faux programme de cryptage a réussi cet exploit.
Il a chiffré tous les fichiers texte dans et sous le dossier Documents, y compris les fichiers texte d'appât de RansomStopper.
(Oui, ces fichiers sont dans un dossier que RansomStopper cache activement, mais j'ai mes méthodes…) Il a également manqué un échantillon de ransomware réel que j'ai configuré pour lancer au démarrage.
Les concepteurs de CyberSight ont testé un certain nombre de solutions à ce problème et ont publié une nouvelle version qui devance les ransomwares au démarrage.
Je l'ai testé; cela fonctionne, supprimant la seule tache sur les résultats des tests désormais solides de RansomStopper.
RansomFree fonctionne en tant que service, il est donc actif avant tout processus régulier.
Lorsque j'ai effectué le même test, en définissant un échantillon de ransomware réel à lancer au démarrage, RansomFree l'a également attrapé.
Malwarebytes a également réussi ce test.
RansomBuster a détecté l'attaque au démarrage et a récupéré les fichiers affectés.
Pour approfondir ce problème, j'ai obtenu un échantillon du ransomware Petya qui a causé des problèmes plus tôt cette année.
Cette contrainte particulière bloque le système et simule ensuite la réparation au démarrage par CHKDSK.
Ce qu'il fait en réalité, c'est crypter votre disque dur.
Malwarebytes, RansomFree et RansomBuster n'ont pas réussi à empêcher cette attaque.
RansomStopper l'a attrapé avant qu'il ne puisse causer le crash du système - impressionnant! ZoneAlarm a également empêché l'attaque de Petya.
Pour être juste envers les autres, celui-ci n'est pas un ransomware de cryptage de fichiers typique.
Au contraire, il verrouille l'ensemble du système en chiffrant le disque dur.
En interrogeant mes contacts, j'ai appris que les attaques de ransomwares au démarrage, y compris Petya, sont de moins en moins courantes.
Même ainsi, j'ai ajouté ce test à mon répertoire.
Autres techniques
La détection basée sur le comportement, lorsqu'elle est correctement mise en œuvre, est un excellent moyen de lutter contre les ransomwares.
Cependant, ce n'est pas le seul moyen.
Trend Micro RansomBuster et Bitdefender Antivirus Plus font partie de ceux qui déjouent les ransomwares en contrôlant l'accès aux fichiers.
Ils empêchent les programmes non approuvés d'apporter des modifications aux fichiers dans des dossiers protégés.
Si un programme non approuvé tente de modifier vos fichiers, vous recevez une notification.
En règle générale, vous avez la possibilité d'ajouter le programme inconnu à la liste de confiance.
Cela peut être pratique si le programme bloqué était votre nouvel éditeur de texte ou de photo.
Panda Internet Security va encore plus loin, empêchant les programmes non approuvés de lire même les données des fichiers protégés.
Les escrocs de ransomware doivent veiller à pouvoir déchiffrer les fichiers lorsque la victime paiera.
Le chiffrement des fichiers plus d'une fois peut interférer avec la récupération, la plupart incluent donc un marqueur quelconque pour empêcher une deuxième attaque.
Bitdefender Anti-Ransomware exploite cette technique pour tromper des familles de ransomwares spécifiques en leur faisant croire qu'elles vous ont déjà attaqué.
Notez, cependant, que cette technique ne peut rien faire contre les nouveaux types de ransomwares.
Lorsque Webroot SecureAnywhere AntiVirus rencontre un processus inconnu, il commence à journaliser toutes les activités de ce processus et à envoyer les données vers le cloud pour analyse.
Si le processus s'avère être un malware, Webroot annule tout ce qu'il a fait, même en annulant l'activité des ransomwares.
ZoneAlarm et RansomBuster ont leurs propres méthodes de récupération de fichiers.
Lorsque le composant anti-ransomware d'Acronis True Image élimine une attaque de ransomware, il peut restaurer des fichiers cryptés à partir de sa propre sauvegarde sécurisée si nécessaire.
Maintenant un gagnant
CyberSight RansomStopper a détecté et bloqué tous mes échantillons de ransomwares du monde réel sans perdre aucun fichier.
Il a également détecté mon simple simulateur de ransomware codé à la main.
Et il a bloqué une attaque de Petya, où plusieurs produits concurrents ont échoué.
Auparavant, RansomStopper présentait une vulnérabilité aux ransomwares qui ne fonctionnait qu'au démarrage, mais mes sources disent que ce type d'attaque est de moins en moins courant, et CyberSight a depuis résolu ce problème.
D'autres produits gratuits avaient leurs propres problèmes.
RansomFree a manqué un échantillon du monde réel, et Malwarebytes a laissé un autre échantillon crypter de manière irréversible quelques fichiers avant que sa détection ne démarre.
RansomBuster a fait pire, manquant complètement la moitié des échantillons (bien que son composant Folder Shield protège la plupart des fichiers).
RansomStopper et Check Point ZoneAlarm Anti-Ransomware sont nos meilleurs choix pour une protection dédiée contre les ransomwares.
ZoneAlarm n'est pas gratuit, mais à 2,99 $ par mois, ce n'est pas trop cher.
Pourtant, RansomStopper gère une protection complète sans frais.
