Revisió i valoració lliure de cibereasonis

Si el vostre antivirus no aconsegueix captar un troià robador de dades, podeu obtenir una targeta de crèdit nova. Si un virus real supera les seves defenses, una eina de neteja agressiva hauria de tenir cura del problema. Però, si el vostre antivirus falla un atac de ransomware, podeu perdre tots els vostres documents o fins i tot perdre l’accés al vostre ordinador. És aquí on entra RansomFree de Cybereason. Aquesta utilitat gratuïta i especial per a la protecció contra ransomware funciona al costat del vostre programari antivirus existent. Se centra en detectar i prevenir la infestació de ransomware veient comportaments comuns a aquests atacs. A les proves, amb mostres de programari maliciós del món real, s'aconsegueix la feina.

Els membres de l’equip Cibereason van rebre la seva formació a la unitat d’elit 8200 del Cos d’Intel·ligència d'Israel, un equip dedicat a la ciberseguretat. Van tallar les dents als ciberataques de nivell militar i ara subministren defensa de gamma alta a grans empreses com SoftBank, Vizio i Lockheed Martin. Com que l'epidèmia de ransomware va començar a posar en risc més consumidors, el conseller delegat de la companyia va decidir extreure el component ransomware de la suite completa de seguretat Cybereason i donar aquesta protecció als ransomware de forma gratuïta. Les petites empreses també poden utilitzar-lo; les empreses més grans haurien de tenir en compte el servei ciberaason a escala completa.

Immediatament després de la instal·lació, RansomFree comença a protegir el vostre sistema contra el ransomware. S'executa en segon pla, vetllant per comportaments específics del ransomware. Com a part d'aquest procés, crea fitxers "esquer" en ubicacions principals com l'escriptori i la carpeta Documents. No hi ha signatures antivirus; RansomFree es basa en la detecció basada en el comportament.

Atac del Ransomware

RansomFree va ser una de les primeres eines de seguretat específiques per a ransomware que vaig revisar l'any passat. Aleshores, només tenia un parell de mostres del món real, a més d’altres variants modificades a mà. Ara tinc una mitja dotzena de mostres que cobreixen diverses famílies de ransomware. RansomFree els ha detectat i bloquejat.

Quan detecta un procés que actua com ransomware, RansomFree suspèn aquest procés i mostra un gran avís. Feu clic a Sí per finalitzar el procés i netegeu qualsevol problema. També podeu fer clic a No, però no us ho recomano. Hi ha un enllaç per visualitzar tots els fitxers creats, modificats o eliminats pel procés infractor. Revisant aquesta informació, vaig poder veure, per exemple, que un atacant va crear un fitxer executable amb un nom aleatori a la carpeta Documents i va cedir el control d'aquest programa. Un altre va suprimir la seva presència al disc després de carregar-se a la memòria.

En alguns casos, RansomFree apareix dues o fins i tot tres vegades; Sempre he fet clic a Sí. Un cop finalitzada, va advertir que el ransomware podria haver deixat enrere una nota de rescat o un altre detritus que heu de netejar manualment. De fet, he trobat notes de rescata en dos casos.

He topat amb un parell de productes que no han pogut evitar un atac de ransomware llançat a l'inici de Windows. És un exemple IObit Advanced SystemCare Ultimate, com també és el CyberSight RansomStopper gratuït. Quan vaig configurar un exemple de ransomware per iniciar-lo, RansomFree no va tenir problemes per detectar-lo i acabar-lo.

Tinc a mà un petit i senzill simulador de ransomware, un programa que vaig escriure jo mateix. Tot el que fa és trobar els fitxers de text a la carpeta Documents i aplicar-los el xifrat XOR. Aquesta tècnica simplement fa volar tots els bits a zero i tots els bits zero a un; aplicant-lo per segona vegada, desxifra el fitxer. Això s'ha mostrat massa senzill perquè RansomFree ho noti, i, efectivament, no és realment destructiu. Algunes altres utilitats competidors van ignorar el meu FakeCryptor, entre elles Acronis i CryptoDrop Anti-Ransomware.

Ransomware del xifrat del disc

El tipus més comú de ransomware xifra els fitxers essencials, però deixa que l’ordinador funcioni. Això té un sentit perfecte, perquè la víctima necessita accés a Internet i ordinador per pagar el rescat. Tanmateix, hi ha un altre tipus menys freqüent que realitza xifrat de disc sencer, fent un ús efectiu del dispositiu fins que pagueu. El notori ransomware Petya és un d'aquests, i he aconseguit enganxar una mostra de Petya.

Les utilitats de protecció basades en el comportament del ransomware no necessàriament protegeixen contra aquest tipus d'atacs. Dels altres quatre productes que he provat des de l'obtenció de la mostra Petya, Acronis i RansomStopper van impedir un atac de Petya, però Malwarebytes Anti-Ransomware Beta i CryptoDrop no ho van fer.

Una publicació al blog de Cybereason em va portar a pensar que RansomFree podria aturar Petya. Tanmateix, quan vaig llançar la meva mostra, vaig procedir a bloquejar el sistema i executar una reparació de discos de baix nivell quan es reiniciava. En realitat, estava xifrant el disc, no reparant-lo. Val la pena assenyalar que el ransomware de xifratge de disc és molt menys comú que el tipus de xifrat de fitxers i que el seu antivirus és molt probable que l’atrapés abans que pogués fer mal.

Conundrum simulat de Ransomware

KnowBe4 és una empresa més coneguda pels seus entrenaments antiphishing que pels productes, però ofereix el Simulador RanSim Ransomware gratuït. Sense tocar cap fitxer preciós, RanSim simula les deu tècniques de ransomware més comunes, així com dues tècniques innòcues relacionades que la protecció contra ransomware no hauria de bloquejar.

Vaig instal·lar RanSim al sistema de prova i vaig executar les seves seqüències de prova, amb resultats decebedors. RansomFree es va abstenir correctament d’interferir amb els dos escenaris falsos positius, però tampoc va fer res per bloquejar els 10 escenaris de ransomware.

Després d’haver excavat, esgarrapat de cap i confabulant tant amb Cybereason com amb KnowBe4, vaig arribar a comprendre el problema. RanSim posa els seus fitxers de prova a les carpetes dins de carpetes, quatre nivells per sota de la carpeta Documents. Xifrar aquests fitxers sense tocar el contingut real de la carpeta Documents no és un comportament que coincideixi amb cap ransomware del món real. De manera que RansomFree ho ignora. Acronis va bloquejar els 10 escenaris i Malwarebytes en va aconseguir vuit. Altres van esborrar tota la plataforma de proves, el que significa que no podia informar de cap resultat.

Altres avingudes

El Ransomware és un problema greu, per la qual cosa no és d’estranyar que altres empreses hagin ideat els seus propis mètodes per combatre-ho. Tota la detecció de programari maliciós a Webroot SecureAnywhere AntiVirus es basa en el comportament, no només en la detecció de ransomware. L'antivirus esborra immediatament qualsevol procés que coincideixi amb els perfils de comportament maliciós existents. Si no està clar al 100% que un procés sospitós sigui malintencionat, Webroot publica les seves accions locals i virtualitza accions no reversibles, com ara l'enviament d'informació a través d'Internet. Quan el seu anàlisi basat en núvol més tard identifica aquell procés sospitós com a programari maliciós, el client local utilitza les dades del diari per revertir totes les accions d'aquest procés, inclosa la inversió de les accions de xifratge realitzades pel ransomware.

Heu d’adquirir la suite completa de Panda Internet Security per obtenir la protecció del ransomware de Panda; l’antivirus autònom no inclou el component Data Shield. Data Shield té l’objectiu de protegir els vostres preciosos documents contra tot accés no autoritzat, de manera que el ransomware no pot xifrar els vostres fitxers i els troians no poden robar-vos les dades. Si Panda detecta un intent d’accés per part d’un programa no autoritzat, us pregunta si ho permet. Naturalment, concedireu permís a aquell nou processador de textos que acabeu d’instal·lar, però si la sol·licitud surt del tot, denegau-la!

Trend Micro Antivirus + Security i Avast Internet Security es troben entre els altres productes que elaboren ransomware evitant modificacions no autoritzades de fitxers. Tot i això, no impedeixen l’accés de només lectura com ho fa Panda.

En el terreny d’eines específicament dissenyades per combatre el malware, gairebé tots utilitzen detecció basada en comportaments. El programa Bitdefender Anti-Ransomware és una excepció; funciona subvertint les tècniques pròpies del ransomware per evitar el doble xifrat, "vacunant" el sistema de manera que el ransomware creu que ja ha fet la seva feina.

Check Point ZoneAlarm Anti-Ransomware complementa la detecció basada en el comportament amb un sistema per a recuperar els fitxers que podrien haver estat xifrats abans de començar la detecció. A la prova, va fer un treball perfecte, fins i tot eliminant les notes de rescat disperses.

Amb Acronis Ransomware Protection, obteniu 5 GB d’emmagatzematge en núvol per als fitxers delicats. Si ransomware xifra un fitxer o dos abans de la detecció, Acronis simplement es restaura de la seva còpia de seguretat protegida. Si 5GB es demostren insuficients, sempre podeu actualitzar el servei de còpia de seguretat Acronis True Image de l’empresa, que inclou de forma natural el component anti-ransomware.

Trend Micro RansomBuster surt tot, lluitant contra el ransomware en diversos fronts. El seu protector de carpetes bloqueja la modificació dels fitxers delicats, utilitza la detecció basada en el comportament i recupera els fitxers d’emmagatzematge segur si és necessari. Tanmateix, quan vaig desactivar la carpeta Shield per fer-ne les proves, la detecció basada en el comportament va trobar moltes mostres.

Suspensions i cinturó

RansomFree és gratuït, tal com el seu nom indica, i quan el vam provar amb ransomware desagradable del món real, va fer un servei de vigilància. No és de cap manera una solució universal, però val la pena afegir-hi la vostra utilitat de protecció contra programari contra programari maliciós. L’he instal·lat al meu PC de producció principal i us recomano que penseu afegir-lo o una altra utilitat gratuïta de protecció contra ransomware per complementar la vostra protecció antivirus a escala completa.

Check Point ZoneAlarm Anti-Ransomware és la nostra elecció per a la seguretat dels ransomware. Tot i que no és gratuït, tampoc és car. Va protegir contra totes les nostres mostres de ransomware i va recuperar fitxers segons sigui necessari, sense transmetre fitxers esquer a tot el sistema.