Revisione e valutazione di Heilig defence ransomoff

Certo, il ransomware è un mal di testa per le persone: chi vuole perdere tutti i tuoi progressi sul grande romanzo americano? Ma immagina quanto sia peggio per le aziende, che potrebbero perdere $ 100.000 all'ora (o più) quando il ransomware blocca la produzione. I sistemi di sicurezza aziendale di fascia alta necessitano di una potente protezione contro i ransomware e, occasionalmente, i fornitori di tali sistemi rendono tale protezione disponibile a livello personale. È il caso dell'Heilig Defence RansomOff gratuito, che utilizza la tecnologia presa in prestito dal correlato Hielig Defence di fascia alta.

In modo simile, Cybereason RansomFree incapsula la protezione ransomware presente nei prodotti di livello aziendale di Cybreason. Tuttavia, laddove RansomFree, RansomStopper e la maggior parte degli altri strumenti specifici per ransomware gratuiti riducono al minimo le impostazioni e l'interazione dell'utente, RansomOff include diverse modalità e moduli che a volte mi confondono.

RansomOff è un piccolo download e si installa rapidamente. Per impostazione predefinita, funziona in modalità semplice, descritta come "protezione senza problemi". Puoi anche scegliere la Modalità avanzata per "liberare il pieno potenziale di RansomOff". Ho usato entrambe le modalità nei test, come vedrai di seguito.

Modalità semplice

Nella Modalità semplice predefinita, RansomOff si occupa interamente del business in background, senza notifica che ha posto fine a minacce diverse da una breve animazione dell'icona dell'area di notifica. Quando si fa doppio clic sull'icona, viene visualizzata una piccola finestra con pulsanti per visualizzare gli avvisi e passare alla Modalità avanzata.

In questa modalità, RansomOff termina il ransomware, ma non tenta la pulizia. Puoi sempre vedere cosa ha fatto facendo doppio clic sull'icona e quindi su Visualizza avvisi. L'elenco degli avvisi include le operazioni di pulizia in sospeso, che è possibile avviare manualmente.

Durante i test, ha rilevato e terminato tutti i miei campioni di ransomware reali. Ho cercato l'icona animata, controllato gli avvisi e richiesto la pulizia in ogni caso. Tuttavia, meno della metà dei campioni ha attivato un avviso Ransomware rilevato. Per il resto, ha segnalato la notifica HIPS-Lite, che mi ha detto che il programma offensivo ha tentato di configurarsi per l'avvio all'avvio.

Come controllo di integrità, ho eseguito diverse utilità dalla raccolta che conservo per test di falsi positivi, scegliendo quelli la cui funzionalità richiede l'avvio da parte all'avvio. In ogni caso, RansomOff ha eliminato questi programmi totalmente legittimi. Non ho osservato questo tipo di comportamento in altre utility specifiche del ransomware. Dato che la funzione HPS-Lite elimina sia i programmi legittimi sia i programmi dannosi, non riesco quasi a chiamare quel rilevamento di ransomware.

Modalità avanzata

Per ulteriori esplorazioni, ho passato RansomOff in modalità avanzata e ho ripetuto il test. Il comportamento del programma è molto diverso in questa modalità. Al rilevamento di ransomware, assume lo schermo con un avviso impossibile da ignorare, chiedendo il tuo permesso per affrontare il problema. Puoi fare clic per maggiori dettagli prima di decidere. Se rileva modifiche alla sequenza di avvio o altre azioni sospette, visualizza una notifica HIPS-Lite meno intensa e chiede se consentire o bloccare la modifica.

Ho esaminato di nuovo i campioni, scegliendo Blocca in qualsiasi avviso HIPS-Lite. I risultati hanno assomigliato a quello che ho visto in Modalità semplice, con un'eccezione evidente. Forse a causa del ritardo nella visualizzazione della sua notifica, RansomOff ha permesso a un campione di crittografare i file nella cartella Documenti prima di cancellarlo. L'ho provato diverse volte, nel caso fosse un colpo di fortuna; non è successo ogni volta, ma è stato sicuramente ripetibile.

Successivamente, ho ritentato i campioni che hanno attivato gli avvisi HIPS-Lite, scegliendo Consenti questa volta. È stato un disastro. Dire a RansomOff di consentire la modifica all'avvio ha anche causato l'interruzione del monitoraggio dell'attività del ransomware. "Il modo in cui lo vediamo è a quel punto che il processo è stato riconosciuto facendo qualcosa e l'utente ha fatto una scelta in un modo o nell'altro", ha spiegato il mio contatto presso Heilig Defense. "Dopotutto, l'utente dovrebbe essere più intelligente del software o, almeno, farli riflettere un po 'di più prima di consentirlo."

Non posso essere d'accordo. A mio avviso, un software di sicurezza che mette le decisioni critiche nelle mani dell'utente medio è un errore. È come il vecchio modello di firewall personale, che ha reso l'utente responsabile di tutte le decisioni sull'opportunità per ciascun programma di accedere alla rete. Altri strumenti di protezione dai ransomware fanno il lavoro senza coinvolgere le decisioni degli utenti.

Determinato a ottenere una visione chiara delle capacità del programma, ho disattivato la funzione HIPS-Lite e ripetuto i test ancora una volta. Questa volta, il prodotto ha rilevato e bloccato il comportamento ransomware in tutti i campioni, un risultato molto soddisfacente. Tuttavia, l'unico problematico esempio è riuscito a crittografare i file prima che RansomOff lo colpisse.

Ulteriori test

Occasionalmente ho riscontrato programmi di sicurezza che falliscono all'avvio del ransomware. Sono lieto di dire che RansomOff non è uno di quelli. Quando ho impostato manualmente un paio di campioni da avviare all'avvio di Windows, li ha bloccati in modo efficace.

Per un controllo di integrità di base, ho scritto un piccolo programma che crittografa tutti i file di testo nella cartella Documenti utilizzando la crittografia XOR reversibile. Molte utility di protezione dai ransomware non rilevano questo programma, perché nessun ransomware reale potrebbe crittografare in questo modo semplice. Ma RansomOff l'ha colto.

Ho anche caricato il simulatore di ransomware RanSim da KnowBe4. Questo strumento simula 10 tecniche utilizzate dal ransomware reale, insieme a due attività di crittografia innocue. In modalità semplice, non sono nemmeno riuscito a installarlo, poiché RansomOff lo ha cancellato. Riprovando in modalità avanzata con HIPS-Lite disattivato, ho gestito con successo l'installazione.

Mentre l'utilità di test ha analizzato i suoi scenari, ho risposto a 11 avvisi di rilevamento di RansomOff. Alla conclusione del test, RanSim ha segnalato la prevenzione riuscita di tutte e 10 le attività di ransomware simulate, insieme a uno degli scenari innocui. Acronis Ransomware Protection ha ottenuto esattamente lo stesso punteggio. Bloccare tutti e 10 gli attacchi simulati è un grande vantaggio; un falso positivo è un piccolo segno negativo.

Funzionalità di protezione fantasiose del ransomware

Sono abituato a strumenti di protezione ransomware che sono così discreti che a malapena hanno una finestra principale e talvolta non hanno alcuna impostazione di configurazione. RansomOff in modalità avanzata è abbastanza una partenza, con diverse funzionalità fantasiose che ho potuto capire solo scavando nella documentazione.

Blocco app

App Lockdown è un sistema di protezione basato sulla whitelist, disabilitato per impostazione predefinita, con diverse modalità operative. Nella rigorosa modalità Tutti i processi, dovrai OK ogni processo avviato a meno che non sia già stato esentato. Allentando la modalità Nuovo processo, RansomOff richiede la verifica solo la prima volta che un processo viene eseguito durante la sessione di Windows. È possibile ridurre i popup esentando i processi di Windows, i file di programma con firma digitale o entrambi.

Ho attivato Blocco app in modalità Tutti i processi e ho avviato Chrome. Ho dovuto OK cinque processi distinti, ma in un successivo lancio quei processi erano esenti. Gli utenti esperti di tecnologia possono configurare Blocco app in modo che si attivi automaticamente quando viene caricato un processo specificato e, facoltativamente, disattivarlo alla chiusura di tale processo. L'impostazione predefinita di Blocco Web configura Blocco app per l'attivazione quando è attiva una finestra del browser, proprio come funziona VoodooSoft VoodooShield.

Backup e ripristino

La funzionalità di backup e ripristino, abilitata per impostazione predefinita, ha lo scopo di eseguire il backup dei file minacciati e, se necessario, ripristinarli dopo l'attività di ransomware. Secondo la documentazione, "RansomOff eseguirà una copia di un file basato su determinate azioni e lo salverà nello spazio protetto". Offre diversi metodi di ripristino, tra cui la selezione di un processo per ripristinare le modifiche apportate e la ricerca di file che richiedono il ripristino, nonché un'opzione per ripristinare i file che RansomOff potrebbe aver eliminato per errore. Nei miei test, non ho mai visto questa funzione in azione; non ha aiutato con quel fastidioso esempio di ransomware che ha crittografato i miei documenti.

La funzionalità di ripristino in Check Point ZoneAlarm Anti-Ransomware si è dimostrata sia più semplice che più efficace. In ogni caso, si è offerto di ripristinare tutti i file crittografati e lo ha fatto con successo. Il suo unico errore nel test ha comportato la segnalazione di errori una volta quando è effettivamente riuscito.

Acronis Ransomware Protection adotta un approccio diverso al backup. Crea un backup cloud crittografato dei file nelle cartelle protette, fino a 5 GB di valore e recupera tutti i file danneggiati dal ransomware dopo aver eliminato la minaccia.

Protezione cartella

Facendo clic su Cartelle viene visualizzata la protezione basata su autorizzazioni di RansomOff per le cartelle specificate. Come Bitdefender Antivirus Plus, Trend Micro e pochi altri, può impedire ai programmi non autorizzati di modificare i file, ma offre diverse altre opzioni. Puoi impedire che abbia accesso a tutti i file nella cartella protetta, nascondere l'esistenza di tali file o bloccare l'avvio di file eseguibili dalla posizione protetta. Quest'ultimo è utile contro minacce come TeslaCrypt, che rilascia un file eseguibile con nome casuale nella cartella Documenti e lo avvia.

Confusamente, gestisci la protezione aggiungendo cartelle in uno dei cinque diversi elenchi: Nega, Ingannare, Nascondi, Sola lettura e Nessuna esecuzione. Una cartella può occupare solo uno di questi elenchi alla volta. Per iniziare, ho aggiunto la cartella Documenti all'elenco Nega. Ciò dovrebbe negare sia l'accesso in lettura che in scrittura ai file protetti, come la funzionalità simile in Panda Internet Security. Tuttavia, non ha fatto nulla per impedire a un piccolo editor che mi sono scritto di leggere e modificare file.

Si scopre che non stavo prestando abbastanza attenzione. Lo schermo mostrava chiaramente "Protezione non abilitata" sotto la mia cartella selezionata. È inoltre necessario aggiungere almeno un'applicazione esente prima che RansomOff inizi a proteggere. Ho aggiunto Windows Explorer all'elenco esenti, per abilitare la protezione. Dopodiché, la cartella Documenti non è stata nemmeno visualizzata nella finestra di dialogo del file aperto del mio piccolo editor.

Ho selezionato Protezione modifiche e ho spostato la mia cartella protetta nell'elenco Sola lettura. Questa volta il mio minuscolo editor ha caricato correttamente un file di testo dalla cartella protetta, ma un tentativo di salvare una versione modificata ha ricevuto un messaggio che diceva "Errore di scrittura stream". È deludente. Trend Micro RansomBuster e diversi altri programmi simili segnalano il tentativo di accesso e offrono la possibilità di inserire nella whitelist l'applicazione. Quando hai appena installato un nuovo documento o un editor di foto, puoi facilmente inserirlo nella whitelist a questo punto.

Nel tentativo di provare il mio piccolo editor, ho scoperto molti file nella cartella Documenti che semplicemente non apparivano in Esplora risorse. Infatti, come RansomFree e CyberSight RansomStopper, RansomOff utilizza file "esca" per facilitare il rilevamento. In genere li nasconde alla vista, come RansomStopper, ma si presentano in alcune situazioni.

Ha bisogno di accordatura

La maggior parte delle utility di protezione specifiche del ransomware sono super-semplificate, svolgono il loro lavoro in silenzio, con poca necessità di interazione o configurazione da parte dell'utente. L'installazione di tale strumento insieme alla protezione antivirus esistente offre un semplice livello di protezione secondario. RansomOff è molto più complesso di tutti i suoi concorrenti, con impostazioni e funzionalità avanzate che sono sconcertanti senza una lettura approfondita dei documenti. Durante i test, ha rilevato tutti i campioni di ransomware, ma ha permesso a uno di essi di crittografare i file nonostante il rilevamento.

Ai tecnici può piacere, ma al momento è troppo complesso per l'utente medio. Sul lato roseo, gli sviluppatori sono pronti a risolvere eventuali problemi, anche aggiornando il programma per risolvere un paio di problemi durante la mia recensione. Non vedo l'ora di una versione che non richiede tanto l'utente medio.

Con un'interfaccia più semplice e un eccellente recupero, Check Point ZoneAlarm Anti-Ransomware è una scelta dei redattori per la protezione dei ransomware. Se il pagamento di un altro strumento di sicurezza non è quello che avevi in ​​mente, CyberSight RansomStopper è gratuito ed è anche una scelta dei redattori in quest'area.