Seguro, el ransomware es un dolor de cabeza para las personas, ¿quién quiere perder todo su progreso en la gran novela estadounidense? Pero imagine cuánto peor es para las empresas, que pueden perder $ 100,000 por hora (o más) cuando el ransomware bloquea la producción.
Los sistemas de seguridad empresarial de alta gama necesitan una protección poderosa contra el ransomware y, en ocasiones, los proveedores de dichos sistemas hacen que esa protección esté disponible a nivel personal.
Ese es el caso de Heilig Defense RansomOff gratuito, que utiliza tecnología tomada del Hielig Defense Correlate de alta gama.
De manera similar, Cybereason RansomFree encapsula la protección contra ransomware que se encuentra en los productos de nivel empresarial de Cybreason.
Sin embargo, donde RansomFree, RansomStopper y la mayoría de las otras herramientas gratuitas específicas de ransomware reducen la configuración y la interacción del usuario al mínimo, RansomOff incluye múltiples modos y módulos que a veces me confunden incluso a mí.
RansomOff es una pequeña descarga y se instala rápidamente.
De forma predeterminada, se ejecuta en modo simple, que se describe como "protección sin problemas".
También puede elegir el modo avanzado para "liberar todo el potencial de RansomOff".
Hice uso de ambos modos en las pruebas, como verá a continuación.
Modo simple
En el modo simple predeterminado, RansomOff se ocupa de los negocios por completo en segundo plano, sin ninguna notificación de que ha terminado las amenazas, excepto una breve animación del icono del área de notificación.
Cuando hace doble clic en el icono, se muestra una pequeña ventana con botones para ver las alertas y cambiar al modo avanzado.
En este modo, RansomOff finaliza el ransomware, pero no intenta la limpieza.
Siempre puede ver lo que hizo haciendo doble clic en el icono y luego en Ver alertas.
La lista de alertas incluye operaciones de limpieza pendientes, que puede iniciar manualmente.
En las pruebas, detectó y eliminó todas mis muestras de ransomware del mundo real.
Busqué el ícono animado, verifiqué las alertas y solicité la limpieza en cada caso.
Sin embargo, menos de la mitad de las muestras activaron una alerta de ransomware detectado.
Por lo demás, informó la Notificación de HIPS-Lite, diciéndome que el programa infractor intentó configurarse para iniciarse al inicio.
Como prueba de cordura, ejecuté varias utilidades de la colección que mantengo para pruebas de falsos positivos, eligiendo aquellas cuya funcionalidad requiere que se inicien al inicio.
En todos los casos, RansomOff eliminó estos programas totalmente legítimos.
No he observado este tipo de comportamiento en otras utilidades específicas de ransomware.
Dado que la función HPS-Lite elimina tanto los programas legítimos como los maliciosos, difícilmente puedo llamar a eso detección de ransomware.
Modo avanzado
Para una mayor exploración, cambié RansomOff al modo avanzado y repetí la prueba.
El comportamiento del programa es muy diferente en este modo.
Al detectar ransomware, se apodera de la pantalla con una advertencia imposible de ignorar, pidiéndole permiso para solucionar el problema.
Puede hacer clic para obtener más detalles antes de tomar una decisión.
Si detecta una modificación de la secuencia de inicio u otras acciones sospechosas, muestra una notificación HIPS-Lite menos estridente y pregunta si permite o bloquea el cambio.
Repasé las muestras nuevamente, eligiendo Bloquear en cualquier advertencia de HIPS-Lite.
Los resultados se parecieron a lo que vi en el modo simple, con una excepción flagrante.
Quizás debido a la demora involucrada en mostrar su notificación, RansomOff permitió que una muestra encriptara los archivos en la carpeta Documentos antes de borrarlos.
Intenté esto varias veces, en caso de que fuera una casualidad; no sucedió siempre, pero definitivamente fue repetible.
A continuación, volví a intentar las muestras que activaron las advertencias de HIPS-Lite y seleccioné Permitir este tiempo.
Eso fue un desastre.
Decirle a RansomOff que permitiera la modificación de inicio también hizo que dejara de monitorear la actividad del ransomware.
"La forma en que lo vemos es que en ese momento se reconoció que el proceso estaba haciendo algo y el usuario tomó una decisión de una forma u otra", explicó mi contacto en Heilig Defense.
"Después de todo, el usuario debería ser más inteligente que el software o, al menos, hacerles pensar un poco más antes de permitirlo".
No puedo estar de acuerdo.
El software de seguridad que pone las decisiones críticas en manos del usuario promedio es un error, en mi opinión.
Es como el antiguo modelo de firewall personal, que responsabilizaba al usuario de todas las decisiones sobre si cada programa debería tener acceso a la red.
Otras herramientas de protección contra ransomware hacen el trabajo sin involucrar las decisiones del usuario.
Decidido a tener una visión clara de las capacidades del programa, apagué la función HIPS-Lite y repetí mis pruebas una vez más.
Esta vez, el producto detectó y bloqueó el comportamiento del ransomware en todas las muestras, un resultado muy satisfactorio.
Sin embargo, la única muestra problemática aún logró encriptar archivos antes de que RansomOff lo golpeara.
Pruebas adicionales
Ocasionalmente me he encontrado con programas de seguridad que fallan cuando el ransomware se inicia al inicio.
Me complace decir que RansomOff no es uno de esos.
Cuando configuré manualmente un par de muestras para que se iniciaran al inicio de Windows, las bloqueó de manera efectiva.
Para una verificación de cordura muy básica, escribí un pequeño programa que encripta todos los archivos de texto en la carpeta Documentos usando encriptación XOR reversible.
Muchas utilidades de protección contra ransomware no detectan este programa, porque ningún ransomware real encriptaría de esta manera tan simple.
Pero RansomOff lo captó.
También cargué el simulador de ransomware RanSim de KnowBe4.
Esta herramienta simula 10 técnicas utilizadas por ransomware real, junto con dos actividades de cifrado inofensivas.
En el modo simple, ni siquiera pude instalarlo, ya que RansomOff lo borró.
Intentando nuevamente en el modo avanzado con HIPS-Lite apagado, logré una instalación exitosa.
Mientras la utilidad de prueba corría a través de sus escenarios, respondí a 11 advertencias de detección de RansomOff.
Al concluir la prueba, RanSim informó sobre la prevención exitosa de las 10 actividades de ransomware simuladas, junto con uno de los escenarios inocuos.
Acronis Ransomware Protection obtuvo exactamente la misma puntuación.
Bloquear los 10 ataques simulados es una gran ventaja; un falso positivo es un pequeño inconveniente.
Funciones elegantes de protección contra ransomware
Estoy acostumbrado a las herramientas de protección contra ransomware que son tan discretas que apenas tienen una ventana principal y, a veces, no tienen ningún ajuste de configuración.
RansomOff en modo avanzado es una gran desviación, con varias características sofisticadas que solo pude comprender al profundizar en la documentación.
Bloqueo de aplicaciones
App Lockdown es un sistema de protección basado en listas blancas, deshabilitado por defecto, con varios modos de operación.
En el modo estricto de Todos los procesos, deberá aceptar todos los procesos que se inicien, a menos que ya estén exentos.
Al pasar al modo Nuevo proceso, RansomOff solo solicita la verificación la primera vez que se ejecuta un proceso durante la sesión de Windows.
Puede reducir las ventanas emergentes eximiendo los procesos de Windows, los archivos de programa firmados digitalmente o ambos.
Activé el Bloqueo de aplicaciones en el modo Todos los procesos y abrí Chrome.
Tuve que aprobar cinco procesos distintos, pero en un lanzamiento posterior esos procesos estaban exentos.
Los usuarios expertos en tecnología pueden configurar App Lockdown para que se active automáticamente cuando se carga un proceso específico y, opcionalmente, se desactiva cuando ese proceso se cierra.
El ajuste preestablecido de Web Lockdown configura el Bloqueo de aplicaciones para que se active cuando una ventana del navegador está activa, de forma muy similar a como funciona VoodooSoft VoodooShield ($ 19.99 en VoodooShield).
Copia de seguridad y restaurar
La función Copia de seguridad y restauración, habilitada de forma predeterminada, tiene como objetivo realizar una copia de seguridad de los archivos amenazados y, si es necesario, restaurarlos después de la actividad del ransomware.
Según la documentación, "RansomOff hará una copia de un archivo basándose en determinadas acciones y lo guardará en un espacio protegido".
Ofrece múltiples métodos de restauración, entre ellos la selección de un proceso para restaurar los cambios realizados y la búsqueda de archivos que necesitan restauración, así como una opción para recuperar archivos que RansomOff puede haber eliminado por error.
En mis pruebas, nunca vi esta función en acción; no ayudó con esa molesta muestra de ransomware que encriptaba mis documentos.
La función de restauración en Check Point ZoneAlarm Anti-Ransomware ($ 39.95 facturado anualmente en ZoneAlarm) demostró ser más simple y más efectiva.
En todos los casos, se ofreció a restaurar los archivos cifrados y lo hizo con éxito.
Su único error en las pruebas involucró reportar fallas una vez cuando realmente tuvo éxito.
Acronis Ransomware Protection adopta un enfoque diferente para la copia de seguridad.
Crea una copia de seguridad encriptada en la nube de los archivos en sus carpetas protegidas, con un valor de hasta 5GB, y recupera cualquier archivo dañado por ransomware después de eliminar la amenaza.
Protección de carpetas
Al hacer clic en Carpetas, aparece la protección basada en permisos de RansomOff para las carpetas que especifique.
Al igual que Bitdefender Antivirus Plus, Trend Micro y algunos otros, puede evitar que programas no autorizados modifiquen archivos, pero ofrece otras opciones.
Puede hacer que niegue todo acceso a los archivos en la carpeta protegida, ocultar la existencia de esos archivos o bloquear el lanzamiento de archivos ejecutables desde la ubicación protegida.
Esto último es útil contra amenazas como TeslaCrypt, que coloca un archivo ejecutable con nombre aleatorio en la carpeta Documentos y lo lanza.
De manera confusa, administra la protección agregando carpetas a una de las cinco listas diferentes: Denegar, Engañar, Ocultar, Solo lectura y Sin ejecución.
Una carpeta solo puede ocupar una de estas listas a la vez.
Para empezar, agregué la carpeta Documentos a la lista Denegar.
Esto debería denegar el acceso de lectura y escritura a archivos protegidos, como la característica similar de Panda Internet Security.
Sin embargo, no hizo nada para evitar que un pequeño editor que escribí yo mismo leyera y modificara archivos.
Resulta que no estaba prestando suficiente atención.
La pantalla mostraba claramente "Protección no habilitada" debajo de mi carpeta seleccionada.
También debe agregar al menos una aplicación exenta antes de que RansomOff inicie su protección.
Agregué el Explorador de Windows a la lista de exenciones para habilitar la protección.
Después de eso, la carpeta Documentos ni siquiera apareció en el diálogo de archivo abierto de mi pequeño editor.
Seleccioné Protección contra cambios y moví mi carpeta protegida a la lista Solo lectura.
Esta vez, mi pequeño editor cargó con éxito un archivo de texto de la carpeta protegida, pero al intentar guardar una versión modificada, apareció un mensaje que decía "Error de escritura en la transmisión".
Eso es decepcionante.
Trend Micro RansomBuster y varios otros programas similares informan el intento de acceso y le brindan la oportunidad de incluir la aplicación en la lista blanca.
Cuando acaba de instalar un nuevo editor de documentos o fotos, puede incluirlo fácilmente en la lista blanca en este ...
