Revisió i classificació de la protecció contra ransomware de Acronis

El programari maliciós inclou moltes varietats i, teòricament , els vostres antivirus han de gestionar-los tots. Tot i així, és intel·ligent afegir una capa addicional de protecció contra ransomware. Si el vostre antivirus troba un troià o un virus completament nou, probablement s'atraparà amb la propera actualització. Però si elimineu el ransomware no es desfaran els danys. Encara no teniu els fitxers xifrats enrere. És per això que afegir alguna cosa com la gratuïta Acronis Ransomware Protection és una cosa fantàstica.

Acronis va introduir la seva tecnologia de Protecció Activa com a part de la seva utilitat de còpia de seguretat Acronis True Image. Acronis Ransomware Protection ofereix exactament la mateixa tecnologia de forma gratuïta i llança a 5 GB de còpia de seguretat en línia allotjada com a segona línia de defensa. Naturalment, l’empresa espera que t’agradi tant que surtis pel producte de còpia de seguretat de pagament.

Introducció a Acronis Ransomware Protection

Baixar la utilitat, registrar-se en un compte i executar l'instal·lador només triguen uns minuts. Després d’un breu tutorial, el producte s’acciona immediatament, qualificant que tots els processos actius són segurs o sospitosos. A diferència de les senzilles visualitzacions estàtiques de RansomFree i Malwarebytes Anti-Ransomware Beta, Acronis mostra un gràfic en moviment dels processos actius en els darrers minuts. El verd representa processos segurs, mentre que els sospitosos es mostren com blaus. Una línia vermella del gràfic indica la detecció del comportament que suggereix ransomware.

La vostra configuració no està completa fins que no identifiqueu fitxers importants per a còpies de seguretat en línia. Si ho fem, és tan senzill com deixar anar fitxers o directoris a la finestra principal del programa. Podeu afegir més fitxers de protecció en qualsevol moment, fins al límit de 5 GB.

Ransomware Blocking

Quan Acronis detecta una activitat sospitosa, apareix una finestra d'avís i us demana si confieu o bloquegeu el procés. Si esteu ocupats amb un programa d'arxiu per comprimir i xifrar fitxers, feu clic a Confiança. Si el missatge és inesperat, feu clic a Bloquejar.

Després de fer clic a Bloquejar, un altre popup ofereix recuperar tots els fitxers afectats. Tingueu en compte que això no significa restaurar-se des d’una còpia de seguretat. Acronis pot recuperar qualsevol fitxer d’aquest tipus des de la memòria cau local. La còpia de seguretat és una línia de defensa addicional. Amb la possibilitat que la recuperació no fos efectiva, Acronis conserva els fitxers xifrats en una carpeta dedicada.

Aquesta segona finestra emergent també diu: "Podeu llistar aquest procés per bloquejar-lo definitivament", cosa que em va confondre una mica. No hi havia cap enllaç a la llista negra del programa i, per descomptat, no apareixia a la vista de Gestió de processos, ja que Acronis ja l'ha finalitzat.

Vaig trobar que executar la mateixa mostra dues vegades i bloquejar-la per segona vegada va obtenir un resultat lleugerament diferent. El missatge d'avís va afegir una casella de selecció "Recorda la meva opció per a aquest procés" marcada per defecte. Aquesta vegada, fent clic a Bloquejar activament la llista negra i va oferir un enllaç a la pàgina Gestiona processos.

El meu contacte amb Acronis va confirmar que funciona com dissenyat i efectivament efectiu. Tot i això, crec que la missatgeria podria ser més clara.

Acronis en Acció

L’única manera d’estar segur que funciona un producte de protecció del ransomware és exposar-lo al ransomware del món real. Tinc mig dotzena de mostres que utilitzo per a aquest tipus de proves. Acronis va bloquejar tots menys un, que és millor que molts. RansomFree també en va perdre un. CryptoPrevent Premium va perdre la meitat de les mostres i algunes de les capturades van aconseguir xifrar nombrosos fitxers abans de la detecció.

Bitdefender Anti-Ransomware també va perdre la meitat de les mostres, però he de destacar que Bitdefender no intenta detectar el comportament del ransomware. Més aviat, vacuna el sistema contra el ransomware conegut plantant banderes que fan que el sistema sembli que ja està infectat.

Al costat de la volada, Malwarebytes i Check Point ZoneAlarm Anti-Ransomware van capturar totes les meves mostres, tot i que un exemple va aconseguir xifrar un grapat de fitxers abans que Malwarebytes el llençés. L’únic error de ZoneAlarm va ser que va informar que no va poder restaurar tots els fitxers en una sola instància, quan de fet va tenir èxit.

Abans de tenir mostres reals de ransomware, vaig escriure un simulador de ransomware molt simple que vaig anomenar FakeCryptor. Es llança a l’inici, busca fitxers de text a la carpeta Documents i els xifra mitjançant un algorisme simple i reversible. Els sistemes de detecció basats en conductes sovint no detecten aquesta eina d'idees senzilles, perquè no utilitzen els algorismes de xifrat seriosos que es troben en el ransomware real. Acronis no ho va marcar com a sospitós, tot i que RansomStopper i Trend Micro RansomBuster ho van fer. Això no és una marca negra per a Acronis, ja que aquest programa no és realment un ransomware.

Durant la prova, vaig comprovar que CyberSight RansomStopper va agafar el meu programa FakeCryptor quan el vaig llançar manualment, però no quan es va iniciar al començament. Això va suggerir una nova prova. Vaig agafar una mostra de ransomware que Acronis definitivament s'ha llençat, la vaig deixar caure a la carpeta Inici i vaig reiniciar el sistema. Igual que RansomFree, Acronis va bloquejar amb èxit l’atac de ransomware en l’inici del sistema.

Recentment he obtingut una mostra del temut ransomware Petya. Això és diferent. En lloc de xifrar fitxers específics, realitza encriptació de disc sencer, és a dir, que no podeu utilitzar el vostre ordinador en absolut. Només he provat uns quants productes amb Petya i els resultats es barregen. Igual que RansomStopper, Acronis va capturar l'atac abans que pogués fer cap mal. Però Cybereason RansomFree i Malwarebytes se centren estrictament en el ransomware de xifratge de fitxers, de manera que el van perdre.

Ransomware simulat

L’empresa d’intel·ligència de seguretat KnowBe4 ofereix un simulador de ransomware gratuït anomenat RanSim. Aquesta eina gestiona 10 programes auxiliars que simulen 10 tipus diferents de comportament del ransomware, així com dos processos que realitzen tasques legals de xifratge i, per tant, no s’han de bloquejar. Celebro puntuacions altes en aquesta prova, però no penalitzeu les puntuacions baixes. Al cap i a la fi, es tracta només de simulacions, no de ransomware reals. RansomFree, per exemple, els va ignorar completament, com va fer RansomStopper.

Igual que RansomBuster, Acronis va detectar i bloquejar els 10 atacs de ransomware simulats i va bloquejar incorrectament un dels processos innocents. ZoneAlarm va eliminar tots els processos d’ajuda abans que poguessin llançar-se, deixant a RanSim incapaç d’oferir una puntuació.

Altres enfocaments

Com la majoria d’eines de protecció del ransomware, Acronis es basa en la detecció basada en el comportament. També inclou dos nivells de recuperació de fitxers, la memòria cau local i la còpia de seguretat en línia. Aquests no són els únics enfocaments per combatre els atacs de ransomware.

Com s'ha assenyalat, l'eina gratuïta anti-ransomware de Bitdefender enganya certs tipus de ransomware coneguts pensant que ja han infectat el sistema. Bitdefender Antivirus Plus fa una mica més. A més de la detecció basada en el comportament de ransomware i altres programari maliciós, bloqueja la modificació no autoritzada dels fitxers de les carpetes que designeu per a la protecció. Si apareix quan utilitzeu un nou editor d’imatges per primera vegada, només cal que llista la llista blanca del programa. Si apareix quan no heu fet res, bloquegeu l’atacant.

Trend Micro Antivirus + Security i RansomBuster també bloquegen l’accés no autoritzat a fitxers protegits. Panda Internet Security i IObit Malware Fighter 5 Pro fan les coses un pas més, evitant que programes no autoritzats puguin llegir fins i tot fitxers protegits.

Webroot SecureAnywhere AntiVirus adopta un enfocament inusual de la detecció de programari maliciós en general. Quan es troba amb un procés desconegut, comença a publicar tota l’activitat i a enviar dades de comportament al sistema d’anàlisi basat en núvol. També impedeix qualsevol acció no reversible, com ara transmetre les dades privades fora de l’ordinador. Si el sistema del núvol decideix que el procés és maliciós, Webroot l’acaba acabant i inverteix tota la seva activitat. Aquest procés pot revertir un atac de ransomware, tot i que Webroot adverteix que hi ha un límit en la quantitat d’activitats que es poden emmagatzemar en memòria cau.

Una bona elecció

Acronis Ransomware Protection és una bona incorporació al vostre arsenal de seguretat. Funciona al costat del vostre antivirus com a segona capa de defensa contra l'atac de ransomware. Encara una altra capa de protecció, ofereix una còpia de seguretat en núvol de 5 GB dels teus fitxers més importants. Tenint en compte que són tots dos gratuïts, també potser voldreu provar Cybereason RansomFree i Malwarebytes Anti-Ransomware abans de prendre una decisió final.

L'elecció dels nostres editors en l'àmbit de la protecció contra ransomware no és gratuïta, tot i que no és cara. Check-Zone PointAlarm Anti-Ransomware costa 2, 99 dòlars mensuals per tres llicències. Va obtenir un excel·lent rendiment en les nostres proves pràctiques, detectant totes les mostres de ransomware i recuperant correctament tots els fitxers. El seu únic error era informar erròniament que no havia recuperat els fitxers.