Ditt antivirus- eller säkerhetspaket borde verkligen skydda dig mot ransomware, tillsammans med alla andra typer av skadlig kod.
Det kan finnas en tillfällig utsläpp med en aldrig tidigare sett attack, men de okända blir snabbt kända.
Tyvärr lämnar ransomware i efterhand fortfarande dina filer krypterade.
Det är därför du kanske vill lägga till ett ransomware-skyddsverktyg i din arsenal.
Den kostnadsfria CyberSight RansomStopper stoppade verklig ransomware vid testning, och den senaste uppdateringen hanterar ransomware som bara körs vid starttid.
RansomStopper liknar Cybereason RansomFree, Trend Micro RansomBuster och Malwarebytes Anti-Ransomware Beta.
Alla fyra är gratis och alla upptäcker ransomware baserat på dess beteende.
Eftersom de förlitar sig på beteende spelar det ingen roll om ransomware är en gammal, känd mängd eller ett just skapat nolldagarsattack.
Liksom RansomFree använder RansomStopper bete-filer som en del av sin detekteringsmetodik.
RansomStopper döljer dock sina betesfiler från användaren.
Komma igång
Installationen gick snabbt i min testning.
Efter nedladdningen slutförde jag processen genom att ange mitt för- och efternamn och e-postadress.
När jag svarade på bekräftelsemeddelandet var produkten igång.
Till skillnad från ZoneAlarm Anti-Ransomware och några andra krävde det en omstart för att vara helt operativ.
Produktens enkla huvudfönster rapporterar att "Du är skyddad från ransomware." Knappar längst ner låter dig visa säkerhetsvarningar, processer som RansomStop har blockerat och processer du har valt att tillåta.
En annan knapp låter dig söka efter uppdateringar om du inte valde automatiska uppdateringar under installationen.
Enkel!
CyberSight erbjuder också en affärsutgåva.
Tillagda funktioner inkluderar e-postvarningar, centraliserad administration och detaljerade rapporter.
Företagsutgåvan kostar $ 29,99 för en enda licens, men priset sjunker till så lågt som $ 10 per säte med volymlicenser.
Ransomware-skydd
När RansomStopper upptäcker en ransomware-attack avslutar den den kränkande processen och dyker upp en varning i meddelandefältet.
Genom att klicka på varningen kan du se vilken fil som orsakade problemet.
Det finns ett alternativ att ta bort program från listan över blockerade processer - tillsammans med en varning om att det är en dålig idé.
Att vänta på att upptäcka ransomware-beteende kan ibland innebära att ransomware krypterar några filer innan det avslutas.
När jag testade Malwarebytes förlorade det några filer på det här sättet.
Check Point ZoneAlarm Anti-Ransomware ($ 39,95 faktureras årligen på ZoneAlarm) återställer aktivt alla krypterade filer.
I mina tester gjorde det det för varje ransomware-prov.
RansomStopper stoppade dock samma prover utan att tillåta kryptering av några filer.
För en snabb sanityskontroll startade jag ett enkelt falskt ransomware-program som jag skrev själv.
Allt det gör är att leta efter textfiler i och under mappen Dokument och kryptera dem.
Den använder en enkel, reversibel chiffer, så en andra körning återställer filerna.
RansomStopper fångade det och förhindrade dess chicanery.
Än så länge är allt bra.
Varning, Live Ransomware
Det enda säkra sättet att testa beteendebaserat ransomware-skydd är att använda live ransomware.
Jag gör detta mycket försiktigt och isolerar mitt virtuella maskins testsystem från alla delade mappar och från internet.
Detta test kan vara skrämmande om anti-ransomware-produkten inte kan upptäckas, men mitt RansomStopper-test gick smidigt.
Liksom ZoneAlarm och Malwarebytes fångade RansomStopper alla proverna, och jag hittade inga filer krypterade innan beteendedetektering startade.
Cybereason RansomFree klarade sig ganska bra, men det missade en.
Jag testar också med KnowBe4s RanSim, ett verktyg som simulerar 10 typer av ransomware-attacker.
Framgång i detta test är användbar information, men misslyckande kan helt enkelt innebära att den beteendebaserade detekteringen korrekt bestämde att simuleringarna inte är riktiga ransomware.
Liksom RansomFree ignorerade RansomStopper simuleringarna.
Boot-Time Fara löst
Att hålla sig under radarn är en stor sak för ransomware.
När det är möjligt gör det sina smutsiga gärningar tyst och kommer bara fram med sitt lösenkrav efter kryptering av dina filer.
Att ha administratörsbehörighet underlättar ransomwarearbetet, men att komma till den punkten kräver vanligtvis tillstånd från användaren.
Det finns lösningar för att få dessa privilegier tyst.
Dessa inkluderar att ordna till piggyback på Winlogon-processen vid starttid, eller ställa in en schemalagd uppgift för starttid.
Vanligtvis ordnar ransomware bara att starta vid start och tvingar sedan omstart utan att utföra några krypteringsuppgifter.
I min tidigare testning upptäckte jag att ransomware kunde kryptera filer vid starttid innan RansomStopper startade.
Mitt eget falska krypteringsprogram lyckades den prestationen.
Det krypterade alla textfiler i och under mappen Dokument, inklusive RansomStoppers bete-textfiler.
(Ja, de här filerna finns i en mapp som RansomStopper aktivt döljer, men jag har mina metoder ...) Det missade också ett verkligt ransomware-prov som jag ställde in för att starta vid start.
CyberSights designers testade ett antal lösningar för detta problem och släppte en ny version som går före starttidens ransomware.
Jag testade det; det fungerar, tar bort den ena fläcken på RansomStoppers nu sterling testresultat.
RansomFree körs som en tjänst, så den är aktiv innan någon regelbunden process.
När jag utförde samma test och ställde in ett verkligt ransomware-prov för start vid start, fick RansomFree det också.
Malwarebytes klarade också detta test.
RansomBuster upptäckte starttidsangreppet och återhämtade de drabbade filerna.
För att ytterligare utforska detta problem fick jag ett urval av Petya ransomware som orsakade problem tidigare i år.
Denna speciella stam kraschar systemet och simulerar sedan reparation av starttid med CHKDSK.
Vad det faktiskt gör är att kryptera din hårddisk.
Malwarebytes, RansomFree och RansomBuster misslyckades alla med att förhindra denna attack.
RansomStopper fångade det innan det kunde orsaka systemkrasch - imponerande! ZoneAlarm förhindrade också Petyas attack.
För att vara rättvis mot de andra är den här inte en typisk ransomware för filkrypterare.
Snarare låser det hela systemet genom att kryptera hårddisken.
När jag frågade efter mina kontakter fick jag reda på att ransomware-attacker under starttid, inklusive Petya, blir mindre vanliga.
Ändå har jag lagt till detta test i min repertoar.
Andra tekniker
Beteendebaserad upptäckt, när det implementeras på rätt sätt, är ett utmärkt sätt att bekämpa ransomware.
Det är dock inte det enda sättet.
Trend Micro RansomBuster och Bitdefender Antivirus Plus är bland dem som förverkligar ransomware genom att kontrollera filåtkomst.
De förhindrar opålitliga program från att göra ändringar i filer i skyddade mappar.
Om ett otillförlitligt program försöker ändra dina filer får du ett meddelande.
Vanligtvis får du möjlighet att lägga till det okända programmet i den betrodda listan.
Det kan vara praktiskt om det blockerade programmet var din nya text- eller fotoredigerare.
Panda Internet Security går ännu längre och förhindrar att otillförlitliga program till och med läser data från skyddade filer.
Ransomware-skurkar måste se till att de kan dekryptera filer när offret betalar.
Kryptering av filer mer än en gång kan störa återställningen, så de flesta innehåller en markör av något slag för att förhindra en andra attack.
Bitdefender Anti-Ransomware använder den tekniken för att lura specifika ransomware-familjer att tro att de redan har attackerat dig.
Observera dock att denna teknik inte kan göra något åt ??helt nya ransomware-typer.
När Webroot SecureAnywhere AntiVirus stöter på en okänd process, börjar den journalföra all aktivitet av den processen och skicka data till molnet för analys.
Om processen visar sig vara skadlig, rullar Webroot tillbaka allt det gjorde, till och med rullar tillbaka ransomware-aktivitet.
ZoneAlarm och RansomBuster har sina egna metoder för att återställa filer.
När anti-ransomware-komponenten i Acronis True Image dödar en ransomware-attack kan den vid behov återställa krypterade filer från sin egen säkra säkerhetskopia.
Nu en vinnare
CyberSight RansomStopper upptäckte och blockerade alla mina verkliga ransomware-prover utan att förlora några filer.
Det upptäckte också min enkla handkodade ransomware-simulator.
Och det blockerade en attack av Petya, där flera konkurrerande produkter misslyckades.
Tidigare uppvisade RansomStopper en sårbarhet för ransomware som bara körs vid starttid, men mina källor säger att den här typen av attacker blir mindre vanligt, och CyberSight har sedan dess löst problemet.
Andra gratisprodukter hade sina egna problem.
RansomFree missade ett verkligt exempel, och Malwarebytes lät ett annat prov kryptera några filer irreversibelt innan dess upptäckt startade.
RansomBuster gick sämre och saknade hälften av proverna helt (även om dess Folder Shield-komponent skyddade de flesta filer).
RansomStopper och Check Point ZoneAlarm Anti-Ransomware är våra bästa val för dedikerat ransomware-skydd.
ZoneAlarm är inte gratis, men till 2,99 $ per månad är det inte heller väldigt dyrt.
Ändå hanterar RansomStopper fullt skydd utan kostnad.
