Revisione e valutazione senza riscatto di Cybereason

Se il tuo antivirus non riesce a catturare un Trojan che ruba i dati, puoi ottenere una nuova carta di credito. Se un virus reale supera le sue difese, uno strumento di pulizia aggressivo dovrebbe occuparsi del problema. Ma se il tuo antivirus manca un attacco ransomware, potresti perdere tutti i tuoi documenti o addirittura perdere l'accesso al tuo computer. È qui che entra in gioco RansomFree di Cybereason. Questa utility di protezione ransomware dedicata e gratuita funziona insieme al software antivirus esistente. Si concentra al 100% sul rilevamento e la prevenzione delle infestazioni da ransomware osservando i comportamenti comuni a questi attacchi. Nei test, con cattivi campioni di malware nel mondo reale, fa il lavoro.

I membri del team Cybereason si sono addestrati nell'unità d'élite 8200 del Israeli Intelligence Corps, un team dedicato alla sicurezza informatica. Si sono tagliati i denti su attacchi informatici a livello militare e ora forniscono una difesa di alto livello alle principali aziende tra cui SoftBank, Vizio e Lockheed Martin. Quando l'epidemia di ransomware ha iniziato a mettere a rischio un maggior numero di consumatori, il CEO dell'azienda ha deciso di estrarre il componente ransomware dalla suite di sicurezza completa di Cybereason e offrire gratuitamente la protezione ransomware ai consumatori. Le piccole imprese possono anche usarlo; le aziende più grandi dovrebbero prendere in considerazione il servizio su larga scala Cybereason.

Immediatamente dopo l'installazione, RansomFree inizia a proteggere il sistema dai ransomware. Funziona in background, alla ricerca di comportamenti specifici per il ransomware. Come parte di questo processo, crea file "esca" in posizioni privilegiate come il desktop e la cartella Documenti. Non ci sono firme antivirus; RansomFree si basa sul rilevamento basato sul comportamento.

Attacco del ransomware

RansomFree è stato tra i primi strumenti di sicurezza specifici del ransomware che ho recensito l'anno scorso. All'epoca avevo solo un paio di campioni del mondo reale, oltre a varianti modificate a mano di quelli. Ora ho una mezza dozzina di campioni che coprono varie famiglie di ransomware. RansomFree ha rilevato e bloccato tutti.

Quando rileva un processo che si comporta come un ransomware, RansomFree sospende tale processo e visualizza un grande avviso. Si fa clic su Sì per terminare il processo e ripulire eventuali problemi. Puoi anche fare clic su No, ma non lo consiglio. C'è un collegamento per visualizzare tutti i file creati, modificati o eliminati dal processo offensivo. Esaminando queste informazioni, ho potuto vedere, ad esempio, che un utente malintenzionato ha creato un file eseguibile con un nome casuale proprio nella cartella Documenti e ha passato il controllo a quel programma. Un altro ha eliminato la presenza sul disco dopo averlo caricato in memoria.

In alcuni casi, RansomFree è spuntato due o anche tre volte; Ho sempre fatto clic su Sì. Al termine, ha avvertito che il ransomware potrebbe aver lasciato una nota di riscatto o altri detriti che è necessario ripulire manualmente. In effetti, ho trovato le note di riscatto in un paio di casi.

Ho incontrato un paio di prodotti che non sono riusciti a prevenire un attacco ransomware avviato all'avvio di Windows. IObit Advanced SystemCare Ultimate è un esempio, così come CyberSight RansomStopper gratuito. Quando ho configurato un campione di ransomware per l'avvio all'avvio, RansomFree non ha avuto problemi a rilevarlo e terminarlo.

Ho a portata di mano un piccolo e semplice simulatore di ransomware, un programma che ho scritto da solo. Tutto ciò che fa è trovare i file di testo nella cartella Documenti e applicare loro la crittografia XOR. Questa tecnica porta semplicemente a zero tutti i bit uno e tutti i bit zero a uno; applicandolo una seconda volta decodifica il file. Ciò si è rivelato troppo semplice per essere notato da RansomFree e, in effetti, non è veramente distruttivo. Molte altre utility concorrenti hanno ignorato il mio FakeCryptor, tra cui Acronis e CryptoDrop Anti-Ransomware.

Disk Encryption Ransomware

Il tipo più comune di ransomware crittografa i tuoi file essenziali, ma lascia il computer funzionante. Ciò ha perfettamente senso, perché la vittima ha bisogno dell'accesso a Internet e al computer per pagare il riscatto. Tuttavia, esiste un altro tipo meno comune che esegue la crittografia dell'intero disco, in modo efficace il dispositivo fino al pagamento. Il famigerato ransomware Petya è uno di questi e sono riuscito a catturare un campione di Petya.

Le utility di protezione ransomware basate sul comportamento non proteggono necessariamente da questo tipo di attacco. Degli altri quattro prodotti che ho testato da quando ho ottenuto l'esempio Petya, Acronis e RansomStopper hanno impedito un attacco Petya, ma Malwareby Anti-Ransomware Beta e CryptoDrop no.

Un post sul blog di Cybereason mi ha portato a pensare che RansomFree potesse fermare Petya. Tuttavia, quando ho lanciato il mio esempio, ha continuato a arrestare il sistema ed eseguire una finta riparazione del disco di basso livello al riavvio. In realtà, stava crittografando il disco, non riparandolo. Vale la pena notare che il ransomware con crittografia del disco è molto meno comune rispetto al tipo di crittografia dei file e che molto probabilmente il tuo antivirus lo catturerebbe prima che potesse fare del male.

Enigma del ransomware simulato

KnowBe4 è una società nota più per i suoi corsi di formazione antiphishing che per i prodotti, ma offre il RanSim Ransomware Simulator gratuito. Senza toccare nessuno dei tuoi preziosi file, RanSim simula le dieci tecniche ransomware più comuni, nonché due innocue tecniche correlate che la protezione dai ransomware non dovrebbe bloccare.

Ho installato RanSim sul sistema di test ed eseguito le sue sequenze di test, con risultati deludenti. RansomFree si è astenuto correttamente dall'interferire con i due scenari di falsi positivi, ma non ha fatto nulla per bloccare i 10 scenari di ransomware.

Dopo aver scavato, grattato la testa e confabulando sia con Cybereason che KnowBe4, ho capito il problema. RanSim mette i suoi file di prova in cartelle all'interno di cartelle, quattro livelli sotto la cartella Documenti. Crittografare tali file senza toccare il contenuto effettivo della cartella Documenti non è un comportamento corrispondente a nessun ransomware del mondo reale. Quindi RansomFree lo ignora. Acronis ha bloccato tutti e 10 gli scenari e Malwarebytes ne ha ottenuti otto. Altri hanno cancellato l'intera piattaforma di test, il che significa che non è stato possibile riportare alcun risultato.

Altri viali

Il ransomware è un problema serio, quindi non sorprende che altre aziende abbiano escogitato i propri metodi per combatterlo. Tutto il rilevamento di malware in Webroot SecureAnywhere AntiVirus si basa sul comportamento, non solo sul rilevamento di ransomware. L'antivirus cancella immediatamente qualsiasi processo che corrisponda ai profili di comportamento di un malware esistente. Se non è chiaro al 100% che un processo sospetto è dannoso, Webroot registra le sue azioni locali e virtualizza eventuali azioni non reversibili come l'invio di informazioni su Internet. Quando la sua analisi basata su cloud in seguito identifica quel processo sospetto come malware, il client locale utilizza i dati del journal per annullare tutte le azioni di quel processo, incluso invertire le azioni di crittografia eseguite dal ransomware.

È necessario acquistare la suite Panda Internet Security completa per ottenere la protezione ransomware da Panda; l'antivirus autonomo non include il componente Data Shield. Data Shield mira a proteggere i tuoi preziosi documenti da qualsiasi accesso non autorizzato, quindi i ransomware non possono crittografare i tuoi file e i Trojan non possono rubare i tuoi dati. Se Panda rileva un tentativo di accesso da parte di un programma non autorizzato, ti chiede se consentirlo. Naturalmente concederai il permesso a quel nuovo elaboratore di testi che hai appena installato, ma se la richiesta viene fuori dal nulla, negalo!

Trend Micro Antivirus + Security e Avast Internet Security sono tra gli altri prodotti che ostacolano il ransomware impedendo la modifica non autorizzata dei file. Tuttavia, non impediscono l'accesso in sola lettura come fa Panda.

Nel regno degli strumenti appositamente progettati per combattere i malware, quasi tutti utilizzano il rilevamento basato sul comportamento. Bitdefender Anti-Ransomware è un'eccezione; funziona sovvertendo le tecniche del ransomware per evitare la doppia crittografia, "vaccinando" il sistema in modo che il ransomware pensi di aver già fatto il suo lavoro.

Check Point ZoneAlarm Anti-Ransomware integra il rilevamento basato sul comportamento con un sistema per il recupero di tutti i file che potrebbero essere stati crittografati prima dell'avvio del rilevamento. Durante i test, ha svolto un lavoro perfetto, eliminando persino le note di riscatto sparse.

Con Acronis Ransomware Protection, ottieni 5 GB di spazio di archiviazione cloud per i tuoi file sensibili. Se il ransomware crittografa un file o due prima del rilevamento, Acronis ripristina semplicemente dal suo backup protetto. Se 5 GB si rivelano insufficienti, è sempre possibile eseguire l'aggiornamento al servizio di backup Acronis True Image dell'azienda, che include naturalmente il componente anti-ransomware.

Trend Micro RansomBuster fa di tutto per combattere il ransomware su più fronti. Folder Shield blocca la modifica di file sensibili, utilizza il rilevamento basato sul comportamento e, se necessario, recupera i file dall'archiviazione sicura. Tuttavia, quando ho disattivato Folder Shield per i test, il rilevamento basato sul comportamento ha perso diversi campioni.

Bretelle e cintura

RansomFree è, come suggerisce il nome, gratuito, e quando lo abbiamo testato con ransomware del mondo reale e cattivo, ha fatto il tuo servizio. Non è affatto una soluzione universale, ma è una valida aggiunta alla tua utility di protezione dai malware per tutti gli usi. L'ho installato sul mio PC di produzione principale e suggerirei di aggiungere questo o un'altra utility di protezione ransomware gratuita per integrare la protezione antivirus su vasta scala.

Check Point ZoneAlarm Anti-Ransomware è la nostra scelta dei redattori per la sicurezza specifica del ransomware. Anche se non è gratuito, non è nemmeno costoso. Proteggeva da tutti i nostri campioni di ransomware e ripristinava i file se necessario, senza spargere file di esche nel sistema.