Taula de continguts:
- Com començar amb RansomBuster
- Prova de l'escut de carpetes
- Prova de la detecció basada en el comportament
- Resultats diversos
Vídeo: Trend Micro Ransom Buster Tested! (Octubre 2024)
El recent esclat de ransomware BadRabbit va afectar sobretot persones a Rússia i a prop, no tant als Estats Units, però no deixeu que us complau. Qui sap on arribarà el proper atac? Necessiteu protecció contra ransomware i és possible que el vostre antivirus no sigui suficient. Trend Micro RansomBuster ofereix diverses capes de protecció i és gratuït tant per a ús personal com empresarial. Tanmateix, les nostres proves demostren que les capes no són igualment efectives.
RansomBuster està disponible com a descàrrega gratuïta, i també és un component dels productes antivirus i suite de seguretat de Trend Micro. Així mateix, l’autònom Cybereason RansomFree també és un component de la suite de seguretat a gran escala de Cybereason.
Com RansomFree i Malwarebytes Anti-Ransomware Beta, que també és gratuït, RansomBuster està pensat per utilitzar-se al costat del vostre antivirus estàndard. Tots dos productes se centren a detectar ransomware en funció del seu comportament; RansomFree arrels de fitxers esquer en ubicacions estratègiques per ajudar a la seva detecció, com us explicaré. RansomBuster també inclou la detecció basada en el comportament, però aquesta és només una de les seves habilitats.
Si RansomBuster detecta fins i tot una falta de possibilitat d'activitat del ransomware, realitza una còpia de seguretat segura dels fitxers afectats. Al punt que la possibilitat es converteix en una certesa, finalitza el ransomware i utilitza la còpia de seguretat per restaurar els fitxers afectats durant la seva anàlisi. Check Point ZoneAlarm Anti-Ransomware restaura els fitxers afectats de manera similar.
Una forma molt senzilla d’evitar que ransomware encripti fitxers a la carpeta de documents (o d’altres carpetes sensibles) és simplement prohibir tota modificació mitjançant programes no autoritzats. Feu servir el vostre processador de text de confiança o l’editor d’imatges igual que sempre, però el component Protector de carpetes impedeix l’accés de qualsevol programa desconegut. Bitdefender Antivirus Plus inclou una característica similar, mentre que Panda Internet Security fins i tot prohibeix la incògnita de llegir els vostres fitxers.
Com començar amb RansomBuster
La instal·lació és ràpida i senzilla. Després de la instal·lació, el programa us demana que seleccioneu les carpetes que voleu protegir. De manera predeterminada, la carpeta Documents es selecciona, però no es molesta afegint més carpetes. Ràpidament, aprendreu que aquesta edició gratuïta només pot protegir dues carpetes. Al principi semblava una important limitació. Més tard, em vaig adonar que simplement seleccionant la carpeta C: \ Users hauria de protegir la majoria dels vostres documents importants.
Seleccionar aquestes carpetes és l’única opció de configuració; aquest és un programa molt senzill i centrat. Un cop feta aquesta elecció, RansomBuster només queda en segon pla, sense que es produeixi cap més interacció a menys que es produeixi un atac.
Prova de l'escut de carpetes
Per fer una revisió ràpida del seny, vaig llançar un petit editor de text que vaig escriure jo mateix. Aquest programa no existeix enlloc, sinó a la meva PC de prova, de manera que definitivament es qualifica com a programa desconegut. He intentat modificar alguns fitxers de text a la carpeta de documents. RansomBuster va informar correctament d’accés no autoritzat, donant-me l’opció de bloquejar aquest accés o afegir el programa a la llista de confiança. Al cap de poca estona, va triar automàticament l’opció de bloc. El mateix va passar quan vaig provar un programa senzill i codificat a mà que simula el comportament del xifrat del ransomware.
A continuació, vaig treure els grans canons: sis mostres de ransomware del món real. Inicialment, les coses anaven bé. Folder Shield va bloquejar cinc de les mostres, mentre que la detecció basada en el comportament va capturar el sisè abans fins i tot que podria provocar una reacció de Folder Shield. Vaig observar que si, per accident, trieu a confiar en un programa que resulti ser ransomware, el sistema de detecció basat en el comportament també ho ignora. Llegiu aquestes notificacions amb atenció i només confieu en els programes dels quals esteu segurs.
Una mirada més detinguda va revelar que les coses no eren completament complicades. Un dels exemples de ransomware va xifrar un fitxer en una carpeta a l'escriptori abans de ser capturat per Folder Shield, perquè l'escriptori no estava protegit. Un altre va xifrar una dotzena de fitxers dins i sota de la carpeta de l'escriptori i va deixar les notes de rescat en diversos d'ells. Vaig observar que els fitxers afectats eren tipus que la majoria considerarien menys importants. Inclouen dreceres, fitxers d’ajuda, fitxers de registre i un parell de fitxers CSV. El meu contacte a Trend Micro va confirmar que aquests tipus no es troben entre els gairebé 40 tipus de fitxers que el sistema de detecció basat en el comportament rastreja.
Prova de la detecció basada en el comportament
Folder Shield només pot protegir el contingut de dues carpetes, però el sistema de detecció basat en comportaments té com a objectiu marcar un comportament similar al ransomware, sigui on passi. Per a una prova específica de detecció basada en el comportament, vaig desactivar Folder Shield i vaig repetir les proves de ransomware del món real. Els resultats no van ser bonics.
RansomBuster va analitzar tres de les sis mostres. Va cridar a un d'ells sospitós i el va rescindir abans que pogués fer accions nefastes. Va identificar els altres dos com a ransomware, va enumerar els fitxers xifrats i va informar de recuperació exitosa.
Tot i això, les altres tres mostres van funcionar, xifrant fitxers a dreta i esquerra i mostrant les seves notes de rescat, tot sense un pit de RansomBuster. Provat amb aquestes mateixes mostres, ZoneAlarm va detectar els sis i va recuperar tots els fitxers. L’únic error de ZoneAlarm? En un cas, va informar que no va poder restaurar tots els fitxers, quan en veritat no havia fallat.
La protecció de ransomware integrada a Acronis True Image va detectar totes les mostres menys una, restablint qualsevol fitxer afectat de la seva còpia de seguretat en línia segura. RansomFree també ha detectat tot menys un. Els programes maliciosos els van detectar tots, però en un cas el ransomware va xifrar uns quants fitxers abans de ser neutralitzats.
Resultats diversos
Agraeixo el fet que Trend Micro ofereixi RansomBuster de forma gratuïta. Només desitjo que funcionés millor. Carpet Shield és eficaç, però per provar la detecció basada en el comportament no va anar bé. Si ets un gran fan de Trend Micro, ho pots considerar. Però si sou un gran fan de Trend Micro, probablement ja teniu aquesta protecció al vostre antivirus o suite de seguretat.
L'elecció dels nostres editors per a la protecció del ransomware és ZoneAlarm Anti-Ransomware. No és gratuït, però a 2, 99 dòlars mensuals no trencarà el banc i es va defensar amb èxit contra totes les nostres mostres de ransomware del món real. La versió gratuïta Bware Anti-Ransomware BT de Malwarebytes també va detectar totes les mostres, tot i que va perdre un parell de fitxers per xifrar-se, i Cybereason RansomFree va detectar i bloquejar-ne tots menys un. Si voleu reforçar la vostra protecció contra ransomware, més enllà del que està integrat al vostre antivirus, una d'aquestes utilitats és la millor opció.
