Valoració i valoració del rescat de la defensa Heilig

Segur, el ransomware és un mal de cap per als individus: qui vol perdre tots els vostres avenços en la gran novel·la americana? Però imagineu-vos què és pitjor per a les empreses, que poden perdre 100.000 dòlars per hora (o més) quan el ransomware tanqui la producció. Els sistemes de seguretat empresarial de gamma alta necessiten una potent protecció contra el ransomware i, de vegades, els proveïdors d'aquests sistemes ofereixen aquesta protecció a nivell personal. Aquest és el cas de la gratuïta Heilig Defense RansomOff, que utilitza tecnologia prestada a l’alta gamma Hielig Defense Correlate.

De manera similar, Cybereason RansomFree encapsula la protecció contra ransomware que es troba als productes a nivell empresarial de Cybreason. Tanmateix, quan RansomFree, RansomStopper i la majoria d’altres eines gratuïtes específiques de ransomware redueixen la configuració i la interacció dels usuaris a un mínim, RansomOff inclou diversos modes i mòduls que fins i tot em van confondre de vegades.

RansomOff és una petita descàrrega i s’instal·la ràpidament. De manera predeterminada, s'executa en mode simple, descrit com "protecció lliure de molèsties". També podeu triar el mode avançat per "desencadenar tot el potencial de RansomOff". Vaig utilitzar tots dos modes a les proves, com veureu a continuació.

Mode senzill

En el mode simple predeterminat, RansomOff s'ocupa del negoci completament en segon pla, sense cap notificació que finalitzi amenaces que no siguin una breu animació de la icona de l'àrea de notificació. Quan feu doble clic a la icona, mostra una petita finestra amb botons per visualitzar les alertes i per canviar al mode avançat.

En aquest mode, RansomOff finalitza el ransomware, però no intenta netejar-lo. Sempre podeu veure què ho va fer fent doble clic a la icona i després fent clic a Veure alertes. La llista d’alertes inclou operacions de neteja pendents, que podeu llançar manualment.

A les proves, es van detectar i acabar les mostres de ransomware del món real. Vaig mirar la icona animada, comprovar les alertes i sol·licitar neteja en cada cas. No obstant això, menys de la meitat de les mostres van desencadenar una alerta detectada per Ransomware. Per a la resta, va informar de la notificació HIPS-Lite, dient-me que el programa infractor va intentar configurar-se per al llançament en iniciar-se.

Com a revisió sanitària, he utilitzat diverses utilitats de la col·lecció que mantinc per a proves falses positives, escollint aquelles la funcionalitat que requereixi que es posin en marxa en iniciar-se. En tots els casos, RansomOff va eliminar aquests programes totalment legítims. No he observat aquest tipus de comportament en altres utilitats específiques de ransomware. Atès que la característica HPS-Lite elimina tant els programes legítims com els maliciosos, gairebé no puc cridar aquesta detecció de ransomware.

Mode avançat

Per a més exploracions, he canviat RansomOff al mode avançat i he repetit la prova. El comportament del programa és molt diferent en aquesta modalitat. En detectar ransomware, es fa càrrec de la pantalla amb un avís impossible d'ignorar, que demana el vostre permís per solucionar el problema. Podeu fer clic per obtenir més detalls abans de decidir. Si detecta una modificació de la seqüència d’inici o d’altres accions sospitoses, apareix una notificació HIPS-Lite menys estrident i pregunta si permet o no bloquejar el canvi.

Vaig trobar les mostres de nou, escollint Block a qualsevol advertiment de HIPS-Lite. Els resultats es van assemblar al que vaig veure en mode senzill, amb una excepcional vistosa excepció. Potser a causa del retard que va comportar la visualització de la seva notificació, RansomOff va permetre que una mostra xifrés els fitxers de la carpeta Documents abans d’esborrar-la. Ho vaig provar diverses vegades, per si es tractava d'un descarnat; no va passar cada cop, però era repetible.

A continuació, vaig tornar a intentar les mostres que van activar els avisos de HIPS-Lite, escollint Permet aquesta vegada. Això va ser un desastre. Dir-li a RansomOff que permeti modificar l’inici també va fer que es deixés de supervisar l’activitat del ransomware. "La manera de veure-ho és en aquest moment que es va reconèixer el procés fent alguna cosa i l'usuari va fer una tria d'una manera o altra", va explicar el meu contacte a Heilig Defense. "Al cap i a la fi, l'usuari hauria de ser més intel·ligent que el programari o, com a mínim, els fa pensar una mica més abans de permetre-ho."

No puc estar d'acord. Segons el meu parer, un programari de seguretat que posa decisions crítiques en mans de l'usuari mitjà és un error. És com l’antic model de tallafoc personal, que feia a l’usuari responsable de totes les decisions sobre si s’hauria de permetre accedir a cada programa a la xarxa. Altres eines de protecció del ransomware fan la feina sense implicar decisions de l'usuari.

Decidit a tenir una visió clara de les capacitats del programa, vaig desactivar la funció HIPS-Lite i vaig repetir una vegada més les proves. Aquest cop, el producte ha detectat i bloquejat el comportament del ransomware en totes les mostres, un resultat molt satisfactori. Tot i això, la mostra molesta encara va aconseguir xifrar els fitxers abans que RansomOff el va arruïnar.

Proves posteriors

De vegades m'he trobat amb programes de seguretat que fallen quan el ransomware es llança al començar. Per favor, em diu que RansomOff no és un d'aquests. Quan he configurat manualment un parell de mostres per iniciar-lo a l’inici de Windows, les ha bloquejat de manera efectiva.

Per a una revisió bàsica del bàsic, he escrit un petit programa que xifra tots els fitxers de text de la carpeta de documents mitjançant xifrat XOR reversible. Moltes utilitats de protecció del ransomware no detecten aquest programa, ja que cap ransomware real xifrarà d'aquesta manera senzilla. Però RansomOff ho va atrapar.

També he carregat el simulador de ransomware RanSim del KnowBe4. Aquesta eina simula 10 tècniques que utilitza el ransomware real, juntament amb dues activitats de xifrat inofensives. Al mode senzill, ni tan sols podia instal·lar-lo, ja que RansomOff l'ha suprimit. En tornar a provar el mode avançat, amb HIPS-Lite desactivat, he aconseguit una instal·lació satisfactòria.

Mentre que la utilitat del test passava pels seus escenaris, vaig respondre a 11 avisos de detecció de RansomOff. Al final de la prova, RanSim va informar de la prevenció amb èxit de les 10 activitats de ransomware simulades, juntament amb un dels escenaris innòcus. Acronis Ransomware Protection va anotar exactament el mateix. És un gran avantatge bloquejar els 10 atacs simulats; un fals positiu és un petit menys.

Funcions de protecció fantàstiques Ransomware

Estic acostumat a les eines de protecció del ransomware que són tan discrets que amb prou feines tenen una finestra principal i, de vegades, no tenen cap configuració de configuració. RansomOff en mode avançat és una sortida, amb diverses funcions fantàstiques que només he pogut entendre en exercir la documentació.

Bloqueig d'aplicacions

App Lockdown és un sistema de protecció basat en llista blanca, desactivat per defecte, amb diversos modes de funcionament. En el mode estricte de Tots els processos, haureu d’acceptar tots els processos que s’inicien tret que ja estigui exempt. Per baixar el mode Nou procés, RansomOff només sol·licita la verificació la primera vegada que s'executa un procés durant la sessió de Windows. Podeu reduir les finestres emergents exentint processos de Windows, fitxers de programes signats digitalment o tots dos.

He activat el bloqueig d’aplicacions al mode Tots els processos i he llançat Chrome. Vaig haver d’acceptar cinc processos diferents, però en un llançament posterior aquells processos estaven exempts. Els usuaris experimentats amb tecnologia poden configurar l'aplicació de bloqueig d'aplicacions per activar-se automàticament quan es carrega un procés especificat i, opcionalment, desactivar-se quan es tanqui aquest procés. La configuració preestablerta de bloqueig web configura l'aplicació de bloqueig d'aplicacions perquè s'activi quan una finestra del navegador està activa, com la manera de funcionar de VoodooSoft VoodooShield.

Còpia de seguretat i restaurar

La funció de Còpia de seguretat i restauració, habilitada de manera predeterminada, té com a objectiu fer una còpia de seguretat de fitxers amenaçats i, si cal, restaurar-los després de l’activitat del ransomware. Segons la documentació, "RansomOff farà una còpia d'un fitxer basat en determinades accions i el guardarà lluny en l'espai protegit." Ofereix diversos mètodes de restauració, entre ells seleccionar un procés per restaurar els canvis realitzats i cercar fitxers que necessiten restauració, així com una opció per anul·lar fitxers que RansomOff pot haver eliminat per error. Durant la prova, no he vist mai aquesta funció en acció; no m'ha servit per aquell pesat exemple de ransomware que xifrava els meus documents.

La funció de restauració de Anti-Ransomware Check Point ZoneAlarm va resultar senzilla i eficaç. En tots els casos, es va oferir a restaurar qualsevol fitxer xifrat i ho va fer amb èxit. El seu únic error al provar va implicar un error en informar un cop quan va tenir èxit.

Acronis Ransomware Protection adopta un enfocament diferent per a la còpia de seguretat. Crea una còpia de seguretat en núvol xifrada dels fitxers de les vostres carpetes protegides, de fins a 5 GB de valor, i recupera els fitxers danyats pel ransomware després d’eliminar l’amenaça.

Protecció de carpetes

Al fer clic a les carpetes s'obté la protecció basada en permisos de RansomOff per a les carpetes que especifiqueu. Igual que Bitdefender Antivirus Plus, Trend Micro i algunes altres, pot evitar que els programes no autoritzats puguin modificar fitxers, però ofereix diverses altres opcions. Podeu fer que denegueu tot l’accés als fitxers de la carpeta protegida, ocultin l’existència d’aquests fitxers o bloquegeu el llançament de fitxers executables des de la ubicació protegida. Aquest últim és útil contra amenaces com TeslaCrypt, que deixa un fitxer executable de nom aleatori a la carpeta Documents i el llança.

Confús, gestiona la protecció afegint carpetes a una de les cinc llistes diferents: denegar, enganyar, amagar, només llegir i no executar. Una carpeta només pot ocupar una d'aquestes llistes alhora. Per començar, he afegit la carpeta Documents a la llista de denegació. Això ha de negar l'accés de lectura i escriptura a fitxers protegits, com la característica similar a Panda Internet Security. Tot i això, no va fer res per evitar que un petit editor que jo mateix escrigués llegís i modificés fitxers.

Resulta que no estava gaire atent. La pantalla mostra clarament "Protecció no habilitada" a sota de la carpeta seleccionada. També heu d’afegir almenys una sol·licitud exempta abans que RansomOff comenci la seva protecció. He afegit l'Explorador de Windows a la llista exempta, per habilitar la protecció. Després d'això, la carpeta Documents ni tan sols apareixia al diàleg de fitxer obert del meu editor.

He seleccionat Canviar protecció i he traslladat la meva carpeta protegida a la llista de només lectura. Aquesta vegada, el meu petit editor ha carregat amb èxit un fitxer de text de la carpeta protegida, però un intent de guardar una versió modificada va rebre un missatge que deia "Error d'escriptura de flux". Això és decebedor. Trend Micro RansomBuster i diversos altres programes similars informen de l’intent d’accés i us donaran l’oportunitat de fer una llista blanca de l’aplicació. Quan hagueu d’instal·lar un nou document o editor de fotos, podeu fer una llista blanca en aquest punt fàcilment.

En el procés de provar el meu minúscul editor, vaig descobrir molts fitxers a la carpeta Documents que simplement no apareixien a l'Explorador de Windows. De fet, com RansomFree i CyberSight RansomStopper, RansomOff utilitza fitxers "esquer" per ajudar a la seva detecció. Generalment els amaga de la vista, com RansomStopper, però apareixen en algunes situacions.

Necessita sintonia

La majoria de les utilitats de protecció específica del ransomware són super-racionalitzades, fent la seva feina tranquil·lament, amb poca necessitat d’interacció o configuració de l’usuari. Instal·lar aquesta eina al costat de la vostra protecció antivirus existent us permet una senzilla capa de protecció secundària. RansomOff és molt més complex que qualsevol dels seus competidors, amb una configuració avançada i funcions que es desconcerten sense la lectura detallada dels documents. En provar-les, va detectar totes les mostres de ransomware, però va deixar que un d'ells xifrés els fitxers malgrat la detecció.

Pot ser que les tècniques gaudeixin, però actualment és massa complex per a l'usuari mitjà. Des del punt més atractiu, els desenvolupadors s’afanyen a solucionar qualsevol problema, fins i tot actualitzant el programa per solucionar un parell de problemes durant la meva revisió. Espero una versió que no exigeixi la majoria dels usuaris habituals.

Amb una interfície més senzilla i una excel·lent recuperació, Check Point ZoneAlarm Anti-Ransomware és una elecció per als editors de protecció contra ransomware. Si pagueu una altra eina de seguretat no és el que teníeu en compte, CyberSight RansomStopper és gratuït i també és una opció d’Editors en aquest àmbit.