Rassegna e valutazione del ransomstopper di Cybersight

Protezione da ransomware

Quando RansomStopper rileva un attacco ransomware, termina il processo offensivo e visualizza un avviso nell'area di notifica. Facendo clic sull'avviso è possibile vedere quale file ha causato il problema. C'è un'opzione per rimuovere i programmi dall'elenco dei processi bloccati, insieme a un avvertimento che farlo è una cattiva idea.

In attesa di rilevare il comportamento del ransomware a volte può significare che il ransomware crittografa alcuni file prima della chiusura. Quando ho testato Malwarebytes, ho perso alcuni file in questo modo. Check Point ZoneAlarm Anti-Ransomware recupera attivamente tutti i file crittografati. Nel mio test, lo ha fatto per ogni campione di ransomware. Tuttavia, RansomStopper ha arrestato gli stessi campioni senza consentire la crittografia di alcun file.

Per un rapido controllo della sanità mentale, ho lanciato un semplice programma ransomware falso che ho scritto da solo. Tutto ciò che fa è cercare i file di testo dentro e sotto la cartella Documenti e crittografarli. Utilizza un codice semplice e reversibile, quindi una seconda esecuzione ripristina i file. RansomStopper lo ha catturato e ne ha impedito la follia. Fin qui tutto bene.

Attenzione, Live Ransomware

L'unico modo sicuro per testare la protezione ransomware basata sul comportamento è utilizzare il ransomware live. Lo faccio con molta cautela, isolando il mio sistema di test della macchina virtuale da qualsiasi cartella condivisa e da Internet.

Questo test può essere straziante se il prodotto anti-ransomware non viene rilevato, ma il mio test RansomStopper è andato liscio. Come ZoneAlarm e Malwarebytes, RansomStopper ha raccolto tutti i campioni e non ho trovato alcun file crittografato prima che iniziasse il rilevamento comportamentale. Cybereason RansomFree ha funzionato abbastanza bene, ma ne ha perso uno.

Ho anche testato usando RanSim di KnowBe4, un'utilità che simula 10 tipi di attacchi ransomware. Il successo in questo test è un'informazione utile, ma il fallimento può semplicemente significare che il rilevamento basato sul comportamento ha determinato correttamente che le simulazioni non sono un vero ransomware. Come RansomFree, RansomStopper ha ignorato le simulazioni.

Rischio boot-time risolto

Tenere sotto il radar è un grosso problema per il ransomware. Quando possibile, compie silenziosamente le sue azioni sporche, avanzando con la sua richiesta di riscatto solo dopo aver crittografato i file. Avere i privilegi di amministratore semplifica il lavoro del ransomware, ma arrivare a quel punto richiede in genere l'autorizzazione dell'utente. Esistono soluzioni alternative per ottenere silenziosamente tali privilegi. Questi includono l'organizzazione del piggyback sul processo Winlogon al momento dell'avvio o l'impostazione di un'attività pianificata per l'avvio. In genere, il ransomware organizza solo l'avvio all'avvio e quindi forza un riavvio, senza eseguire attività di crittografia.

Nei miei precedenti test, ho scoperto che il ransomware poteva crittografare i file al momento dell'avvio prima che RansomStopper iniziasse. Il mio programma di crittografia falso ha gestito quell'impresa. Ha crittografato tutti i file di testo dentro e sotto la cartella Documenti, inclusi i file di testo esca di RansomStopper. (Sì, quei file si trovano in una cartella che RansomStopper nasconde attivamente, ma ho i miei metodi…) Ha anche perso un campione di ransomware reale che ho impostato per l'avvio all'avvio.

I progettisti di CyberSight hanno testato una serie di soluzioni per questo problema e rilasciato una nuova versione che anticipa il ransomware all'avvio. L'ho provato; funziona, rimuovendo l'unica macchia dai risultati del test ora sterling di RansomStopper.

RansomFree funziona come un servizio, quindi è attivo prima di qualsiasi processo regolare. Quando ho eseguito lo stesso test, impostando un campione di ransomware reale da avviare all'avvio, anche RansomFree lo ha colto. Anche Malwarebytes ha superato questo test. RansomBuster ha rilevato l'attacco all'avvio e ha recuperato i file interessati.

Per esplorare ulteriormente questo problema, ho ottenuto un campione del ransomware Petya che ha causato problemi all'inizio di quest'anno. Questa particolare sollecitazione si arresta in modo anomalo nel sistema e quindi simula la riparazione all'avvio da parte di CHKDSK. Quello che sta effettivamente facendo è crittografare il disco rigido. Malwarebytes, RansomFree e RansomBuster non sono riusciti a prevenire questo attacco. RansomStopper l'ha rilevato prima che potesse causare l'arresto anomalo del sistema: impressionante! ZoneAlarm ha anche impedito l'attacco di Petya. Per essere onesti con gli altri, questo non è un tipico ransomware di crittografia di file. Piuttosto, blocca l'intero sistema crittografando il disco rigido.

Interrogando i miei contatti, ho appreso che gli attacchi ransomware all'avvio, incluso Petya, stanno diventando meno comuni. Anche così, ho aggiunto questo test al mio repertorio.

Altre tecniche

Il rilevamento basato sul comportamento, se implementato correttamente, è un modo eccellente per combattere i ransomware. Tuttavia, non è l'unico modo. Trend Micro RansomBuster e Bitdefender Antivirus Plus sono tra quelli che ostacolano il ransomware controllando l'accesso ai file. Impediscono ai programmi non attendibili di apportare modifiche ai file nelle cartelle protette. Se un programma non attendibile tenta di modificare i tuoi file, ricevi una notifica. In genere, si ottiene l'opzione per aggiungere il programma sconosciuto all'elenco di fiducia. Ciò può essere utile se il programma bloccato era il tuo nuovo editor di testo o foto. Panda Internet Security va ancora più lontano, impedendo ai programmi non attendibili di leggere i dati da file protetti.

I truffatori di ransomware devono aver cura di poter decifrare i file quando la vittima paga. La crittografia dei file più di una volta potrebbe interferire con il recupero, quindi la maggior parte include un marcatore di qualche tipo per impedire un secondo attacco. Bitdefender Anti-Ransomware sfrutta questa tecnica per ingannare specifiche famiglie di ransomware nel pensare di averti già attaccato. Si noti, tuttavia, che questa tecnica non può fare nulla per i nuovissimi tipi di ransomware.

Quando Webroot SecureAnywhere AntiVirus rileva un processo sconosciuto, avvia l'inserimento nel journal di tutte le attività mediante tale processo e invia i dati al cloud per l'analisi. Se il processo si rivela malware, Webroot ripristina tutto ciò che ha fatto, anche ripristinando l'attività dei ransomware. ZoneAlarm e RansomBuster hanno i loro metodi per recuperare i file. Quando il componente anti-ransomware di Acronis True Image elimina un attacco ransomware, se necessario può ripristinare i file crittografati dal proprio backup sicuro.

Adesso un vincitore

CyberSight RansomStopper ha rilevato e bloccato tutti i miei campioni di ransomware reali senza perdere alcun file. Ha anche rilevato il mio semplice simulatore di ransomware codificato a mano. E ha bloccato un attacco di Petya, in cui diversi prodotti concorrenti hanno fallito.

In precedenza, RansomStopper ha mostrato una vulnerabilità al ransomware che viene eseguita solo all'avvio, ma le mie fonti dicono che questo tipo di attacco sta diventando meno comune e da allora CyberSight ha risolto questo problema. Altri prodotti gratuiti avevano i loro problemi. RansomFree ha perso un campione del mondo reale e Malwarebytes ha lasciato crittografare irreversibilmente un altro campione alcuni file prima che il suo rilevamento iniziasse a peggiorare. RansomBuster è andato peggio, mancando completamente la metà dei campioni (sebbene il suo componente Folder Shield proteggesse la maggior parte dei file).

RansomStopper e Check Point ZoneAlarm Anti-Ransomware sono le nostre migliori scelte per la protezione ransomware dedicata. ZoneAlarm non è gratuito, ma a $ 2, 99 al mese non è nemmeno terribilmente costoso. Tuttavia, RansomStopper gestisce la protezione completa senza alcun costo.