รีวิว Cybersight ransomstopper & ให้คะแนน

การป้องกัน Ransomware

เมื่อ RansomStopper ตรวจพบการโจมตี ransomware มันจะยุติกระบวนการที่กระทำผิดและปรากฏขึ้นคำเตือนในพื้นที่แจ้งเตือน การคลิกที่คำเตือนช่วยให้คุณเห็นไฟล์ที่ทำให้เกิดปัญหา มีตัวเลือกในการลบโปรแกรมออกจากรายการกระบวนการที่ถูกบล็อกพร้อมกับคำเตือนว่าการทำเช่นนั้นเป็นความคิดที่ไม่ดี

การรอตรวจจับพฤติกรรม ransomware ในบางครั้งอาจหมายความว่า ransomware เข้ารหัสไฟล์บางไฟล์ก่อนที่จะยกเลิก เมื่อฉันทดสอบ Malwarebytes มันเสียไฟล์เพียงเล็กน้อยด้วยวิธีนี้ Check Point ZoneAlarm Anti-Ransomware กู้คืนไฟล์ที่เข้ารหัสใด ๆ ในการทดสอบของฉันมันทำทุกตัวอย่างแรนซัมแวร์ อย่างไรก็ตาม RansomStopper หยุดตัวอย่างเดียวกันโดยไม่อนุญาตให้มีการเข้ารหัสไฟล์ใด ๆ

สำหรับการตรวจสติอย่างรวดเร็วฉันเปิดตัวโปรแกรม ransomware ปลอมที่ฉันเขียนเอง สิ่งที่มันทำคือมองหาไฟล์ข้อความในและใต้โฟลเดอร์เอกสารและเข้ารหัส มันใช้รหัสที่เรียบง่ายและย้อนกลับได้ดังนั้นการรันครั้งที่สองจะกู้คืนไฟล์ RansomStopper จับมันและป้องกันการใช้เล่ห์เหลี่ยมของมัน จนถึงตอนนี้ดีมาก

ข้อควรระวัง Live Ransomware

วิธีเดียวที่แน่นอนในการทดสอบการป้องกัน ransomware ตามพฤติกรรมคือการใช้ ransomware แบบสด ฉันทำสิ่งนี้อย่างระมัดระวังโดยแยกระบบทดสอบเครื่องเสมือนของฉันออกจากโฟลเดอร์ที่แชร์และจากอินเทอร์เน็ต

การทดสอบนี้อาจเป็นการบาดใจหากผลิตภัณฑ์ต่อต้านแรนซัมแวร์ไม่สามารถตรวจจับได้ แต่การทดสอบ RansomStopper ของฉันเป็นไปอย่างราบรื่น เช่น ZoneAlarm และ Malwarebytes RansomStopper จับตัวอย่างทั้งหมดและฉันไม่พบไฟล์ใด ๆ ที่เข้ารหัสก่อนที่การตรวจจับพฤติกรรมจะเริ่มขึ้น Cybereason RansomFree ทำได้ค่อนข้างดี แต่พลาดไปหนึ่งไฟล์

ฉันยังทดสอบการใช้ RanSim ของ KnowBe4 ซึ่งเป็นยูทิลิตี้ที่จำลองการโจมตี ransomware 10 ประเภท ความสำเร็จในการทดสอบนี้เป็นข้อมูลที่มีประโยชน์ แต่ความล้มเหลวอาจหมายถึงการตรวจจับตามพฤติกรรมที่ระบุไว้อย่างถูกต้องว่าการจำลองไม่ใช่ ransomware จริง เช่น RansomFree RansomStopper ละเว้นการจำลอง

มีการแก้ไขอันตรายของเวลาบูต

การรักษาภายใต้เรดาร์เป็นเรื่องใหญ่สำหรับ ransomware เมื่อเป็นไปได้มันจะทำความสะอาดอย่างเงียบ ๆ โดยส่งต่อความต้องการค่าไถ่หลังจากเข้ารหัสไฟล์ของคุณเท่านั้น การมีสิทธิ์ของผู้ดูแลระบบทำให้งานของ ransomware ง่ายขึ้น แต่การไปยังจุดนั้นต้องได้รับอนุญาตจากผู้ใช้ มีวิธีแก้ไขปัญหาเพื่อรับสิทธิพิเศษเหล่านั้นอย่างเงียบ ๆ สิ่งเหล่านี้รวมถึงการจัดการกับ piggyback ในกระบวนการ Winlogon ในเวลาบูตหรือตั้งค่างานที่กำหนดไว้สำหรับเวลาบูต โดยทั่วไปแรนซัมแวร์เพิ่งจะเปิดตัวเมื่อบูทจากนั้นบังคับให้รีบูตโดยไม่ต้องดำเนินการเข้ารหัสใด ๆ

ในการทดสอบก่อนหน้านี้ของฉันฉันพบว่า ransomware สามารถเข้ารหัสไฟล์ในเวลาบูตก่อนที่ RansomStopper จะเริ่มทำงานโปรแกรมการเข้ารหัสปลอมของฉันจัดการเพลงนั้น มันเข้ารหัสไฟล์ข้อความทั้งหมดในและใต้โฟลเดอร์เอกสารรวมถึงไฟล์ข้อความเหยื่อของ RansomStopper (ใช่ไฟล์เหล่านั้นอยู่ในโฟลเดอร์ที่ RansomStopper ซ่อนอย่างแข็งขัน แต่ฉันมีวิธีการของฉัน … ) นอกจากนี้ยังพลาดตัวอย่าง ransomware ในโลกแห่งความจริงที่ฉันตั้งค่าให้เปิดเมื่อเริ่มต้น

นักออกแบบของ CyberSight ทดสอบวิธีแก้ปัญหาจำนวนหนึ่งสำหรับปัญหานี้และเปิดตัวเวอร์ชันใหม่ที่ล้ำหน้ากว่า ransomware เวลาบูต ฉันทดสอบมัน มันใช้งานได้ลบหนึ่ง blot ในผลการทดสอบตอนนี้ของ Sterling RansomStopper

RansomFree ทำงานเป็นบริการดังนั้นจึงมีการใช้งานก่อนกระบวนการปกติใด ๆ เมื่อฉันทำการทดสอบเดียวกันการตั้งค่าตัวอย่าง ransomware ในโลกแห่งความจริงเพื่อเปิดตัวเมื่อเริ่มต้น RansomFree ก็จับได้เช่นกัน Malwarebytes ผ่านการทดสอบนี้แล้ว RansomBuster ตรวจพบการโจมตีขณะบู๊ตและกู้คืนไฟล์ที่ได้รับผลกระทบ

เพื่อสำรวจปัญหานี้ต่อไปฉันได้รับตัวอย่างของ Petya ransomware ที่ก่อให้เกิดปัญหาเมื่อต้นปีนี้ สายพันธุ์นี้ผิดพลาดของระบบแล้วจำลองการซ่อมแซมเวลาบูตโดย CHKDSK สิ่งที่มันทำจริง ๆ กำลังเข้ารหัสฮาร์ดไดรฟ์ของคุณ Malwarebytes, RansomFree และ RansomBuster ล้มเหลวทั้งหมดเพื่อป้องกันการโจมตีนี้ RansomStopper จับได้ก่อนที่มันจะทำให้ระบบล่ม - น่าประทับใจ! ZoneAlarm ยังป้องกันการโจมตีของ Petya เพื่อความเป็นธรรมกับคนอื่น ๆ อันนี้ไม่ได้เป็นไฟล์เข้ารหัสทั่วไป ransomware ค่อนข้างจะล็อคระบบทั้งหมดโดยการเข้ารหัสฮาร์ดไดรฟ์

จากการสอบถามผู้ติดต่อของฉันฉันได้เรียนรู้ว่าการโจมตี ransomware เวลาบูตรวมถึง Petya นั้นพบได้น้อยลง ถึงกระนั้นฉันได้เพิ่มการทดสอบนี้ในเพลงของฉัน

เทคนิคอื่น ๆ

การตรวจจับตามพฤติกรรมเมื่อใช้งานอย่างเหมาะสมเป็นวิธีที่ดีในการต่อสู้กับ Ransomware อย่างไรก็ตามมันไม่ใช่วิธีเดียว Trend Micro RansomBuster และ Bitdefender Antivirus Plus อยู่ในกลุ่มที่ทำลาย Ransomware โดยการควบคุมการเข้าถึงไฟล์ มันป้องกันโปรแกรมที่ไม่น่าเชื่อถือไม่ให้ทำการเปลี่ยนแปลงใด ๆ กับไฟล์ในโฟลเดอร์ที่ได้รับการป้องกัน หากโปรแกรมที่ไม่น่าเชื่อถือพยายามแก้ไขไฟล์ของคุณคุณจะได้รับการแจ้งเตือน โดยปกติแล้วคุณจะได้รับตัวเลือกในการเพิ่มโปรแกรมที่ไม่รู้จักในรายการที่เชื่อถือได้ สิ่งนี้มีประโยชน์หากโปรแกรมที่ถูกบล็อกเป็นโปรแกรมแก้ไขข้อความหรือรูปภาพใหม่ของคุณ Panda Internet Security ยิ่งไปกว่านั้นการป้องกันโปรแกรมที่ไม่น่าเชื่อถือจากการอ่านข้อมูลจากไฟล์ที่ได้รับการป้องกัน

Crooks Ransomware จำเป็นต้องดูแลว่าพวกเขาจะสามารถถอดรหัสไฟล์เมื่อเหยื่อจ่าย การเข้ารหัสไฟล์มากกว่าหนึ่งครั้งอาจส่งผลต่อการกู้คืนดังนั้นส่วนใหญ่จะรวมเครื่องหมายบางอย่างเพื่อป้องกันการโจมตีครั้งที่สอง Bitdefender Anti-Ransomware ใช้ประโยชน์จากเทคนิคดังกล่าวเพื่อหลอกครอบครัวแรนซัมแวร์โดยเฉพาะให้คิดว่าพวกเขาได้โจมตีคุณไปแล้ว อย่างไรก็ตามโปรดทราบว่าเทคนิคนี้ไม่สามารถทำสิ่งที่เกี่ยวกับประเภทแรนซัมแวร์ใหม่เอี่ยมได้

เมื่อ Webroot SecureAnywhere AntiVirus พบกระบวนการที่ไม่รู้จักมันจะเริ่มทำเจอร์นัลกิจกรรมทั้งหมดโดยกระบวนการนั้นและส่งข้อมูลไปยังคลาวด์เพื่อทำการวิเคราะห์ หากกระบวนการพิสูจน์ให้เห็นว่าเป็นมัลแวร์ Webroot จะย้อนกลับทุกอย่างที่ทำแม้แต่ย้อนกลับไปทำกิจกรรม ransomware ZoneAlarm และ RansomBuster มีวิธีการของตนเองสำหรับการกู้คืนไฟล์ เมื่อส่วนประกอบ Anti-ransomware ของ Acronis True Image สังหารการโจมตี ransomware มันสามารถคืนค่าไฟล์ที่เข้ารหัสจากการสำรองข้อมูลที่ปลอดภัยของตัวเองหากจำเป็น

ตอนนี้เป็นผู้ชนะ

CyberSight RansomStopper ตรวจพบและบล็อกตัวอย่าง ransomware ในโลกแห่งความเป็นจริงทั้งหมดของฉันโดยไม่สูญเสียไฟล์ใด ๆ นอกจากนี้ยังตรวจจับการจำลอง ransomware ด้วยมือที่เรียบง่ายของฉัน และมันขัดขวางการโจมตีของ Petya ซึ่งผลิตภัณฑ์คู่แข่งหลายรายล้มเหลว

ก่อนหน้านี้ RansomStopper ได้แสดงความเสี่ยงต่อ ransomware ที่ทำงานในเวลาบูตเท่านั้น แต่แหล่งที่มาของฉันบอกว่าการโจมตีประเภทนี้กลายเป็นเรื่องธรรมดาน้อยลงและ CyberSight ได้แก้ไขปัญหานี้แล้ว ผลิตภัณฑ์ฟรีอื่น ๆ มีปัญหาของตนเอง RansomFree พลาดตัวอย่างจากโลกแห่งความจริงหนึ่งตัวและ Malwarebytes ปล่อยให้อีกตัวอย่างหนึ่งทำการเข้ารหัสไฟล์สองสามไฟล์ก่อนการตรวจจับจะเริ่มขึ้น RansomBuster มีอาการแย่ลงกว่าครึ่งตัวอย่างทั้งหมด

RansomStopper และ Check Point ZoneAlarm Anti-Ransomware เป็นตัวเลือกอันดับต้น ๆ ของเราสำหรับการป้องกัน ransomware โดยเฉพาะ ZoneAlarm ไม่ฟรี แต่อยู่ที่ $ 2.99 ต่อเดือน แต่ก็ไม่แพงอย่างมาก อย่างไรก็ตาม RansomStopper จัดการการป้องกันแบบเต็มไม่มีค่าใช้จ่าย