Revisió i valoració del ransomstopper de Cybersight

Protecció Ransomware

Quan RansomStopper detecta un atac de ransomware, finalitza el procés infractor i apareix un avís a la zona de notificació. Feu clic a l'avís us permet veure quin fitxer ha causat el problema. Hi ha una opció per eliminar els programes de la llista de processos bloquejats, juntament amb un avís que fer-ho és una mala idea.

Esperar a detectar el comportament del ransomware de vegades pot significar que el ransomware xifra uns quants fitxers abans de la finalització. Quan vaig provar Malwarebytes, va perdre alguns fitxers d'aquesta manera. Check Point ZoneAlarm Anti-Ransomware recupera activament tots els fitxers xifrats. Al meu test, ho vaig fer per a cada mostra de ransomware. Tot i això, RansomStopper va aturar les mateixes mostres sense permetre el xifrat de fitxers.

Per fer una revisió ràpida del sanejament, vaig llançar un senzill programa de ransomware fals que vaig escriure jo mateix. Tot el que fa és buscar fitxers de text dins i sota de la carpeta de documents i xifrar-los. Utilitza un xifrat simple i reversible, de manera que una segona tirada restaura els fitxers. RansomStopper la va agafar i va impedir la seva caneleria. Fins ara, tot bé.

Precaució, Live Ransomware

L’única manera segura de provar la protecció basada en el ransomware basada en el comportament és mitjançant el ransomware en viu. Ho faig amb molta prudència, aïllant el meu sistema de prova de màquina virtual de qualsevol carpeta compartida i d’internet.

Aquesta prova pot resultar de gran abast si el producte anti-ransomware falla la detecció, però el meu test RansomStopper va funcionar correctament. Igual que ZoneAlarm i Malwarebytes, RansomStopper va capturar totes les mostres i no vaig trobar cap fitxer xifrat abans que s’iniciés la detecció del comportament. Cibereason RansomFree ho va fer prou bé, però en va perdre un.

També comprovo utilitzant RanSim de KnowBe4, una utilitat que simula 10 tipus d’atac de ransomware. L’èxit en aquesta prova és informació útil, però el fracàs només pot significar que la detecció basada en el comportament va determinar correctament que les simulacions no són ransomware reals. Igual que RansomFree, RansomStopper va ignorar les simulacions.

S'ha resolt el perill d'arrencada

Mantenir-se sota el radar és una gran cosa per al ransomware. Quan és possible, fa les seves actuacions brutes en silenci, només es presenta amb la seva demanda de rescat després de xifrar els fitxers. Tenir privilegis d’administrador facilita la feina de ransomware, però arribar a aquest punt normalment requereix permís de l’usuari. Hi ha solucions solucionals per obtenir aquests privilegis en silenci. Aquests inclouen la possibilitat de preparar el servei de Winlogon al moment d'arrencar o establir una tasca programada per al temps d'arrencada. Normalment, el ransomware només es disposa a iniciar-se i arrencar després de reiniciar sense realitzar tasques de xifratge.

A les proves anteriors, vaig comprovar que el ransomware podia xifrar fitxers en el moment d'arrencada abans que RansomStopper iniciés. El meu propi programa de xifratge fals va gestionar aquesta gesta. Va xifrar tots els fitxers de text dins i sota de la carpeta Documents, inclosos els fitxers de text esquer de RansomStopper. (Sí, aquests fitxers es troben en una carpeta que RansomStopper oculta activament, però jo tinc els meus mètodes…) També es trobava a faltar un exemple de ransomware del món real que vaig iniciar per iniciar-lo.

Els dissenyadors de CyberSight van provar diverses solucions per a aquest problema i van llançar una nova versió que s’avança al ransomware d’arrencada. Ho vaig provar; funciona, eliminant el problema únic dels resultats de la prova ara de RansomStopper.

RansomFree s'executa com a servei, de manera que està actiu abans de qualsevol procés regular. Quan vaig realitzar la mateixa prova, establint una mostra de ransomware del món real que es va iniciar al començament, RansomFree també la va capturar. Malwarebytes també ha superat aquesta prova. RansomBuster va detectar l'atac al temps d'arrencada i va recuperar els fitxers afectats.

Per aprofundir més en aquest problema, vaig obtenir una mostra del ransomware Petya que va causar problemes a principis d’any. Aquesta tensió particular bloqueja el sistema i, a continuació, simula CHKDSK en reparar el temps d'arrencada. El que realment fa és xifrar el disc dur. Malwarebytes, RansomFree i RansomBuster no han pogut impedir aquest atac. RansomStopper la va atrapar abans que es pogués produir un xoc del sistema. Impressionant! ZoneAlarm també va impedir l'atac de Petya. Per ser just amb els altres, aquest no és un ransomware típic d'encriptador de fitxers. Més aviat, bloqueja tot el sistema xifrant el disc dur.

Preguntant els meus contactes, vaig saber que els atacs de ransomware en el temps d'arrencada, inclosa Petya, són cada cop menys habituals. Tot i així, he afegit aquesta prova al meu repertori.

Altres tècniques

Quan es implementa correctament, la detecció basada en la conducta és una excel·lent manera de combatre el ransomware. Tot i això, no és l’única manera. Trend Micro RansomBuster i Bitdefender Antivirus Plus es troben entre els que ofereixen ransomware controlant l’accés als fitxers. Eviten que els programes no fiables facin cap canvi en els fitxers de les carpetes protegides. Si un programa no confiat intenta modificar els fitxers, obtindreu una notificació. Normalment, teniu l’opció d’afegir el programa desconegut a la llista de confiança. Això pot ser útil si el programa bloquejat era el vostre nou text o editor de fotografies. Panda Internet Security encara va més lluny, evitant que els programes no fiables puguin llegir fins i tot dades de fitxers protegits.

Els escorcolls de Ransomware han de tenir cura que puguin desxifrar fitxers quan la víctima pagui. Xifrar fitxers més d'una vegada pot interferir amb la recuperació, de manera que la majoria inclouen un marcador d'alguna mena per evitar un segon atac. Bitdefender Anti-Ransomware utilitza aquesta tècnica per enganyar famílies específiques de ransomware per pensar que ja us han atacat. Tingueu en compte, però, que aquesta tècnica no pot fer res sobre els tipus de ransomware nous.

Quan Webroot SecureAnywhere AntiVirus es troba amb un procés desconegut, comença a publicar tota l'activitat d'aquest procés i envia dades al núvol per a la seva anàlisi. Si el procés no és programari maliciós, Webroot recupera tot el que va fer, fins i tot retrocedint l’activitat del ransomware. ZoneAlarm i RansomBuster tenen els seus propis mètodes per recuperar fitxers. Quan el component anti-ransomware d'Acronis True Image mata un atac de ransomware, pot restaurar fitxers xifrats des de la seva còpia de seguretat segura, si és necessari.

Ara un guanyador

CyberSight RansomStopper va detectar i bloquejar totes les meves mostres de ransomware del món real sense perdre cap fitxer. També va detectar el meu senzill simulador de ransomware codificat a mà. I va bloquejar un atac de Petya, on diversos productes competidors van fallar.

Anteriorment, RansomStopper mostrava una vulnerabilitat al ransomware que només s’executa en el moment d’arrencada, però les meves fonts afirmen que aquest tipus d’atac cada cop és menys freqüent, i des de llavors CyberSight ha solucionat aquest problema. Altres productes gratuïts tenien els seus propis problemes. RansomFree va trobar a faltar una mostra del món real i Malwarebytes va deixar que una altra mostra xifrava irreversiblement uns quants fitxers abans que la seva detecció comenci.

RansomStopper i Check Point ZoneAlarm Anti-Ransomware són les nostres millors opcions per a la protecció dedicada al ransomware. ZoneAlarm no és gratuït, però a 2, 99 dòlars al mes, tampoc és molt car. Tot i això, RansomStopper gestiona la protecció sense cap cost.