Revisió i classificació anti-ransomware de Cryptodrop

Els nefastos codificadors que creen programari maliciós s’hi inclouen, d’una manera o d’una altra,. Els miners de Bitcoin segresten els cicles de CPU i GPU per enriquir en secret els seus creadors. Els troians pretenen ser programes útils, però roben en secret les dades de la vostra targeta de crèdit. Ransomware és el valor més directe per obtenir diners. Xifra els fitxers importants, fent-los inútils i exigeix ​​que pagueu un rescat per la clau de desxiframent. Si el ransomware passa per sobre del vostre antivirus, tindreu problemes. És per això que té sentit complementar el vostre antivirus regular amb una eina específica de ransomware com CryptoDrop Anti-Ransomware. Amb aquesta eina, es detecta ransomware en funció del seu comportament i es recupera qualsevol fitxer xifrat abans de la detecció. Es costa bé a les proves, amb algunes bobines menors.

Per 29, 99 dòlars anuals, podeu instal·lar CryptoDrop en tres ordinadors. Per a un sol equip, podeu triar pagar 2, 99 dòlars mensuals o 19, 99 dòlars anuals. També hi ha una edició gratuïta, però la seva protecció només cobreix la carpeta Documents i li manca l’opció de recuperació. Tingueu en compte que Acronis Ransomware Protection, RansomFree, Malwarebytes i Trend Micro ofereixen detecció basada en el comportament sense cap cost; Trend Micro i Acronis també inclouen la recuperació de fitxers.

Inici i configuració

Com en molts productes similars, cal reiniciar-lo després de la instal·lació ràpida i senzilla. El producte s’instal·la en mode gratuït inicialment. Podeu fer clic en un enllaç per comprar el producte complet o activar-lo amb el vostre compte CryptoDrop i una clau de llicència. Un cop instal·lat i activat el producte, els indicadors d’estat de Detecció i recuperació mostren un cercle verd.

Em va deixar una mica un comportament estrany relacionat amb aquests indicadors. Cada vegada que vaig obrir la finestra principal, aquells indicadors inicialment mostraven un advertiment vermell. Al cap d’un segon, van canviar de color verd. No hi ha cap mal en això, però se sent descarat.

Quan feu clic al botó Opcions, obteniu una llista de les ubicacions protegides. Inicialment, s'inclouen les carpetes de documents, música, imatges i vídeos de cada compte d'usuari, inclosos tots els usuaris i públics. Un error conegut (però inofensiu) de l’edició actual té la carpeta Imatges que apareix dues vegades. Aconsello fermament afegir la carpeta d'escriptori per a cada compte i qualsevol altra carpeta personal que utilitzeu per a fitxers personals.

CryptoDrop gestiona la recuperació de fitxers mitjançant la conservació de còpies de fitxers de les vostres carpetes protegides en una carpeta endurida. Però si ens fixem en aquesta carpeta DropSafe, no veuràs res, ni tampoc hi haurà cap ransomware que estigui present. Utilitzant tecnologia similar a un rootkit, CryptoDrop fa que els seus fitxers de còpia de seguretat siguin invisibles per a les aplicacions i per al sistema operatiu.

De manera predeterminada, CryptoDrop reserva 2 GB per al DropSafe. Si aquest espai es comença a omplir, obtindreu un avís i una opció per augmentar-ne la mida. El Check Point ZoneAlarm Anti-Ransomware, Trend Micro i Acronis proporcionen la detecció i recuperació de fitxers basats en el comportament de ransomware i que no es limiten a un conjunt específic de carpetes.

Detecció de Ransomware

Per fer una revisió ràpida del sanejament, vaig executar un programa de ransomware fals amb idees senzilles que em vaig codificar. Tot el que fa és trobar tots els fitxers de text a la carpeta Documents i xifrar-los de manera reversible voltejant tots els bits de cada byte, zero a un, zero a zero.

Al principi, semblava que CryptoDrop no funcionava. Observant més de prop, em vaig adonar que només tenia dos fitxers de text a la carpeta Documents. CryptoDrop detecta "modificació de fitxers massius" i no xifrava només dos fitxers com a modificació massiva. Quan vaig tornar a intentar-ho amb dues dotzenes de fitxers de text, CryptoDrop va agafar l’activitat, va aturar el programa i va entrar al mode Lockdown, fent que tots els fitxers fossin només de lectura. També va crear una regla per bloquejar sempre el programa de prova.

Amb aquesta senzilla prova fora del camí, vaig comprovar dues vegades l’aïllament del sistema de proves de màquina virtual de la xarxa física i vaig començar a llançar mostres de ransomware del món real. En tots els casos, CryptoDrop va detectar l’amenaça, la va matar i va passar al mode Lockdown.

De vegades, em trobo amb eines de protecció del ransomware que es poden generar si el ransomware es llança al començar, abans de la utilitat anti-ransomware. CyberSight RansomStopper no ha pogut fer aquesta prova, de la mateixa manera que la protecció de ransomware de l'últim IObit Advanced SystemCare Ultimate. Quan vaig configurar una de les mostres de ransomware per iniciar-la i reiniciar-la, CryptoDrop no va tenir problemes per defensar-la.

Recuperació de Ransomware

CryptoDrop es va fer molt bé en la detecció de ransomware. El component de recuperació va funcionar majoritàriament, però la seva execució es va mostrar una mica desigual.

Com s'ha assenyalat, CryptoDrop manté còpies de seguretat segures dels vostres fitxers en una carpeta el contingut de la qual altres aplicacions no poden veure. Quan feu clic a Recupera fitxers, mostra una llista de fitxers afectats pel recent atac de ransomware. La curta i ampla finestra de recuperació va omplir tota l'amplada (1.280 píxels) del meu sistema de prova, però no era prou alta com per mostrar una dotzena d'arxius. Per a cada fitxer, es va mostrar el nom complet de l'original, el nom de càlcul per a la còpia de seguretat protegida, una data / hora de selecció i el procés que va danyar l'original. Per qualsevol motiu, mostra els noms de ruta de recuperació en tots els límits, cosa que permet una visualització difícil de llegir.

És important revisar la llista de fitxers i seleccionar només els que vulgueu recuperar. Vaig trobar que en la majoria dels casos aquesta llista incloïa fitxers creats pel ransomware; no els voleu recuperar. En lloc d'utilitzar les caselles de selecció, CryptoDrop requereix que Ctrl + feu clic a cada element que vulgueu recuperar.

En cada cas, el procés de recuperació real va passar ràpidament i, pel que he pogut saber, va recuperar correctament tots els fitxers. En alguns casos, però, es va fer una mica més. Per exemple, un intent de recuperació va resultar en quatre versions per a cada fitxer. A més del document recuperat correctament i la versió xifrada sobrant, hi havia un fitxer amb el mateix nom sense extensió de fitxer i una altra còpia amb l’extensió.RECOVERED. Això semblava una mica desordenat.

En un altre cas més preocupant, el procés de ransomware va continuar en marxa després que CryptoDrop suposadament el suspengués. Mentre treballava en el procés de recuperació, he canviat l'escriptori per una nota de rescat i també mostrava la seva demanda de rescat com a fitxer HTML. Per ser just, no va gestionar cap altra activitat de xifratge, però un fitxer suspès no s'ha d'executar del tot.

Ransomware del xifrat del disc

El ransomware d'encriptació de fitxers és el tipus més comú, però hi ha algunes amenaces que xifren la unitat Whle, el que significa que el vostre ordinador és un maó fins que pagueu la rescat. El famós ransomware Petya fa un error del sistema seguit d'un control del disc en l'arrencada, però el que realment fa és xifrar la unitat mentre pretenc comprovar-la.

Com la majoria de les utilitats de protecció de ransomware, CryptoDrop se centra en els encriptadors de fitxers, no en el tipus de xifrat del disc sencer. No va fer res per aturar la meva mostra de Petya. Els únics productes que he vist prevenir amb èxit l’atac de Petya són Acronis, RansomStopper i Sophos Home Premium.

Altres tècniques

Si bé la detecció basada en el comportament és la característica més comuna en les utilitats de protecció del ransomware, no és l'única tècnica que pot ajudar-vos. Bitdefender Antivirus Plus, Trend Micro RansomBuster i alguns altres prohibeixen la modificació d’arxius protegits per programes no autoritzats. Si obteniu un avís emergent al mateix temps que esteu llançant, digueu un programa d'edició d'imatges nou, feu clic a la llista blanca. Si l’avís arriba com a sorpresa, bloqueja l’activitat.

Panda Internet Security i IObit Advanced SystemCare Ultimate són dels pocs que també impedeixen la lectura de fitxers protegits als programes no autoritzats. Això vol dir que també poden frustrar els troians robadors de dades.

Un empresari de ransomware amb èxit ha de garantir que els "clients" que paguen el rescat poden recuperar els seus fitxers. Això significa que han d'evitar xifrar el mateix sistema dues vegades, cosa que significa que han de marcar els sistemes infectats d'alguna manera. El programa Anti-Ransomware Bitdefender gratuït utilitza aquest fet per "vacunar" els PC contra atacs de ransomware molt concrets i coneguts. Simplement enganya l’atacant a pensar que ja ha causat els seus estralls.

La detecció basada en el comportament té una debilitat potencial. El ransomware pot xifrar almenys uns quants fitxers abans que l’algorisme de la conducta comenci a detenir-lo. Els programes gratuïts de Malwarebytes i Cybereason RansomFree van perdre un parell de fitxers en les proves. Això encara és millor que perdre tots els fitxers, però un sistema de recuperació de fitxers és encara millor. A les proves, ZoneAlarm va fer un perfecte treball de recuperació. L’únic error va ser un dels casos en què la recuperació va tenir èxit, però va informar d’error.

Un nou interès

CryptoDrop és una empresa relativament nova, fundada en tecnologia creada per professors d’informàtica a la Universitat de Florida. Té uns quants extrems, com ara la presentació incòmoda de fitxers per a la recuperació i la multiplicació ocasional de fitxers recuperats. A les proves, va bloquejar tant el ransomware com el ransomware simulat, tot i que un programa de ransomware va romandre en funcionament després que CryptoDrop el suposés suprimit. Espero una futura versió amb una mica més polida.

La nostra elecció per a la protecció del ransomware és la de Check Point ZoneAlarm Anti-Ransomware. A 2, 99 dòlars mensuals per tres llicències, el seu preu no és gaire diferent del de CryptoDrop. Durant la prova, es van detectar totes les mostres de ransomware i es van restaurar nítidament tots els fitxers que el ransomware va xifrar. Si fins i tot aquest preu és massa elevat, la protecció gratuïta Acronis Ransomware combina la detecció basada en el comportament amb una còpia de seguretat en núvol dels teus fitxers delicats.