Revisione e valutazione della protezione da Acronis ransomware

Il malware è disponibile in molte varietà e teoricamente il tuo antivirus dovrebbe gestirle tutte. Tuttavia, è intelligente aggiungere un ulteriore livello di protezione ransomware. Se il tuo antivirus manca un nuovissimo Trojan o virus, probabilmente lo catturerà con il prossimo aggiornamento. Ma la rimozione di ransomware non annulla il danno. Non hai ancora i file crittografati. Ecco perché aggiungere qualcosa come Acronis Ransomware Protection gratuito è una mossa intelligente.

Acronis ha introdotto la sua tecnologia Active Protection come parte dell'utilità di backup Acronis True Image. Acronis Ransomware Protection offre esattamente la stessa tecnologia gratuitamente e offre 5 GB di backup online ospitato come seconda linea di difesa. Naturalmente, la società spera che ti piaccia così tanto che spunti per il prodotto di backup a pagamento.

Introduzione a Acronis Ransomware Protection

Il download dell'utilità, la registrazione di un account e l'esecuzione del programma di installazione richiedono solo pochi minuti. Dopo un breve tutorial, il prodotto entra in azione immediatamente, classificando tutti i processi attivi come sicuri o sospetti. A differenza dei semplici display statici di RansomFree e Malwarebytes Anti-Ransomware Beta, Acronis mostra un colorato grafico mobile dei processi attivi negli ultimi minuti. Il verde rappresenta i processi sicuri, mentre quelli sospetti si presentano come blu. Una linea rossa sul grafico indica il rilevamento del comportamento che suggerisce il ransomware.

La configurazione non è completa finché non si identificano i file importanti per il backup online. Farlo è semplice come far cadere file o directory nella finestra principale del programma. Puoi aggiungere più file per la protezione in qualsiasi momento, fino al limite di 5 GB.

Blocco del ransomware

Quando Acronis rileva attività sospette, viene visualizzata una finestra di avviso e ti chiede se fidarti o bloccare il processo. Se sei impegnato a utilizzare un programma di archiviazione per comprimere e crittografare i file, fai clic su Affidabilità. Se il messaggio non è previsto, fare clic su Blocca.

Dopo aver fatto clic su Blocca, un altro popup offre di recuperare tutti i file interessati. Si noti che ciò non significa ripristinare da un backup. Acronis può recuperare tali file dalla sua cache locale. Il backup è un'ulteriore linea di difesa. Nel caso in cui il recupero non fosse efficace, Acronis conserva i file crittografati in una cartella dedicata.

Questo secondo popup afferma anche "Puoi inserire nella lista nera questo processo per bloccarlo in modo permanente", il che mi ha confuso un po '. Non esisteva alcun collegamento per inserire nella lista nera il programma e, naturalmente, non appariva nella vista Gestisci processi perché Acronis lo aveva già terminato.

Ho scoperto che eseguire lo stesso campione due volte e bloccarlo una seconda volta ha ottenuto un risultato leggermente diverso. Il popup di avviso ha aggiunto una casella di controllo "Ricorda la mia scelta per questo processo", selezionata per impostazione predefinita. Questa volta facendo clic su Blocca è stato inserito attivamente nella lista nera il processo e offerto un collegamento alla pagina Gestisci processi.

Il mio contatto presso Acronis ha confermato che funziona come previsto e in effetti è efficace. Tuttavia, penso che la messaggistica potrebbe essere più chiara.

Acronis in azione

L'unico modo per essere davvero sicuri che un prodotto di protezione ransomware funzioni è esporlo al ransomware reale. Ho una mezza dozzina di campioni che utilizzo per questo tipo di test. Acronis ha bloccato tutti tranne uno, il che è meglio di molti. Anche RansomFree ne ha perso uno. CryptoPrevent Premium ha perso metà dei campioni e alcuni di quelli catturati sono riusciti a crittografare numerosi file prima del rilevamento.

Anche Bitdefender Anti-Ransomware ha perso metà dei campioni, ma dovrei sottolineare che Bitdefender non tenta di rilevare il comportamento del ransomware. Piuttosto, vaccina il sistema contro i ransomware noti piantando bandiere che fanno sembrare che il sistema sia già infetto.

D'altro canto, Malwarebytes e Check Point ZoneAlarm Anti-Ransomware hanno catturato tutti i miei campioni, sebbene un campione sia riuscito a crittografare una manciata di file prima che Malwarebytes lo eseguisse. L'unico errore di ZoneAlarm stava segnalando che non era riuscito a ripristinare tutti i file in un'istanza, quando in realtà è riuscito.

Prima di avere dei veri campioni di ransomware, ho scritto un simulatore di ransomware molto semplice che ho chiamato FakeCryptor. Si avvia all'avvio, cerca i file di testo nella cartella Documenti e li crittografa utilizzando un algoritmo semplice e reversibile. I sistemi di rilevamento basati sul comportamento spesso non rilevano questo semplice strumento, perché non utilizza i seri algoritmi di crittografia presenti nel ransomware reale. Acronis non lo ha segnalato come sospetto, anche se RansomStopper e Trend Micro RansomBuster lo hanno fatto. Questo non è un segno nero per Acronis, poiché questo programma non è in realtà un ransomware.

Durante i test, ho scoperto che CyberSight RansomStopper ha rilevato il mio programma FakeCryptor quando l'ho lanciato manualmente, ma non quando è stato eseguito all'avvio. Ciò ha suggerito un nuovo test. Ho preso un campione di ransomware che Acronis ha sicuramente sventato, lasciato cadere nella cartella Startup e riavviato il sistema. Come RansomFree, Acronis ha bloccato con successo l'attacco ransomware all'avvio del sistema.

Di recente ho ottenuto un campione del temuto ransomware Petya. Questo è diverso. Invece di crittografare file specifici, esegue la crittografia dell'intero disco, il che significa che non è possibile utilizzare il computer. Ho testato solo alcuni prodotti con Petya e i risultati sono contrastanti. Come RansomStopper, Acronis ha attaccato l'attacco prima che potesse fare del male. Ma Cybereason RansomFree e Malwarebytes si concentrano strettamente sul ransomware di crittografia dei file, quindi l'hanno perso.

Ransomware simulato

La società di intelligence di sicurezza KnowBe4 offre un simulatore di ransomware gratuito chiamato RanSim. Questo strumento esegue 10 programmi di supporto che simulano 10 diversi tipi di comportamento ransomware, nonché due processi che eseguono attività di crittografia legittime e quindi non devono essere bloccati. In questo test celebro i punteggi più alti, ma non penalizzo i punteggi bassi. Dopotutto, queste sono solo simulazioni, non veri e propri ransomware. RansomFree, ad esempio, li ha ignorati completamente, così come RansomStopper.

Come RansomBuster, Acronis ha rilevato e bloccato tutti e 10 gli attacchi ransomware simulati e bloccato in modo errato uno dei processi innocenti. ZoneAlarm ha eliminato tutti i processi di supporto prima che potessero essere avviati, lasciando RanSim incapace di offrire un punteggio.

Altri approcci

Come la maggior parte degli strumenti di protezione dai ransomware, Acronis si basa sul rilevamento basato sul comportamento. Include anche due livelli di recupero file, la cache locale e il backup online. Ma questi non sono gli unici approcci per sventare gli attacchi ransomware.

Come notato, lo strumento gratuito anti-ransomware di Bitdefender inganna alcuni tipi di ransomware noti nel pensare di aver infettato al sistema il sistema. Bitdefender Antivirus Plus fa molto di più. Oltre al rilevamento basato sul comportamento di ransomware e altri malware, blocca le modifiche non autorizzate a tutti i file nelle cartelle designate per la protezione. Se viene visualizzato quando si utilizza un nuovo editor di immagini per la prima volta, inserire nella lista bianca il programma. Se si apre quando non hai fatto nulla, blocca l'attaccante.

Trend Micro Antivirus + Security e RansomBuster bloccano anche l'accesso non autorizzato ai file protetti. Panda Internet Security e IObit Malware Fighter 5 Pro fanno un passo avanti, impedendo ai programmi non autorizzati di leggere file protetti.

Webroot SecureAnywhere AntiVirus adotta un approccio insolito al rilevamento di malware in generale. Quando incontra un processo sconosciuto, inizia a inserire nel diario tutte le attività e inviare dati comportamentali al suo sistema di analisi basato su cloud. Inoltre impedisce qualsiasi azione non reversibile come la trasmissione dei dati privati ​​dal computer. Se il sistema cloud decide che il processo è dannoso, Webroot lo termina e annulla tutta la sua attività. Questo processo può invertire un attacco ransomware, anche se Webroot avverte che esiste un limite alla quantità di dati di attività che può memorizzare nella cache.

Una buona scelta

Acronis Ransomware Protection è un'ottima aggiunta al tuo arsenale di sicurezza. Funziona a fianco del tuo antivirus come secondo livello di difesa dagli attacchi ransomware. Per l'ennesimo livello di protezione, offre il backup su cloud per 5 GB dei tuoi file più importanti. Dato che sono entrambi gratuiti, potresti anche provare Cybereason RansomFree e Malwarebytes Anti-Ransomware prima di prendere una decisione definitiva.

La scelta dei nostri redattori nel campo della protezione dai ransomware non è gratuita, sebbene non sia costosa. Check Point ZoneAlarm Anti-Ransomware costa $ 2, 99 al mese per tre licenze. Ha offerto prestazioni eccellenti nei nostri test pratici, rilevando tutti i campioni di ransomware e ripristinando correttamente tutti i file. Il suo unico errore era erroneamente riferire che non aveva recuperato correttamente i file.