Recensione e valutazione beta di Malwarebytes anti-ransomware

La tua utility antivirus completa probabilmente fa un ottimo lavoro nel mantenere il tuo PC privo di malware. Tuttavia, nessuno è perfetto, quindi ogni tanto un nuovissimo virus o Trojan può superare la protezione in tempo reale. Anche allora, un aggiornamento antivirus di solito chiarisce la situazione in breve tempo. Ma se la minaccia che è sfuggita è stata la crittografia del ransomware, sei nei guai. Certo, l'antivirus aggiornato può rimuovere il programma offensivo, ma il danno è già stato fatto. I tuoi file rimangono crittografati e inaccessibili. Malwarebytes Anti-Ransomware Beta mira a risparmiare questo dolore catturando qualsiasi ransomware che il tuo antivirus manca.

Non esitare a causa della "beta" nel nome. Questo prodotto gratuito è costantemente in beta test, ricevendo tutte le ultime tecnologie di lotta contro i ransomware da Malwarebytes. Successivamente, quando vengono risolti eventuali punti difficili, la società trasferisce tale tecnologia nel commerciale Malwarebytes Anti-Ransomware for Business. Questo soddisfa il team IT, che in genere preferisce la tecnologia leggermente più vecchia alla tecnologia all'avanguardia.

Ovviamente ottieni la protezione dai ransomware come parte della sostituzione antivirus su vasta scala dell'azienda, Malwarebytes 3.0 Premium. Il prodotto di protezione ransomware standalone funziona insieme al tuo antivirus esistente, lavorando per catturare tutto ciò che manca ai principali antivirus.

Stili di protezione da ransomware

Esistono diversi modi in cui i prodotti di sicurezza implementano la protezione da ransomware. Un modo prevede il controllo dell'accesso a posizioni protette, tipi di file protetti o entrambi. I buoni programmi noti come i componenti di Windows e i programmi di Office ottengono il via libera. Quando un'app sconosciuta tenta di accedere, il prodotto di sicurezza avvisa l'utente di un possibile attacco ransomware. Se si tratta solo di un nuovo editor di documenti, l'utente può autorizzarlo con un clic; se si tratta di ransomware, un altro clic lo invia in quarantena.

Alcuni prodotti impediscono solo le modifiche ai file protetti. Altri, tra cui IObit Malware Fighter 5 Pro e Panda Internet Security, impediscono persino la lettura non autorizzata di dati da file protetti. Questo tipo di protezione impedisce inoltre ai Trojan che rubano i dati di sottrarre i tuoi dati privati.

È ipotizzabile che un complicato processo di ransomware possa fare le sue azioni sporche sovvertendo un programma autorizzato o trovare un altro modo per aggirare le limitazioni di accesso. Anche se ciò accadesse, un prodotto che rileva ransomware in base al suo comportamento potrebbe comunque sventare l'attacco. Ecco come funziona Malwarebytes Anti-Ransomware. Cybereason RansomFree adotta un approccio simile.

Troverai livelli di protezione specifici del ransomware anche in vari prodotti antivirus standard. Bitdefender e Trend Micro includono un tale componente. Il rilevamento di malware da parte di Webroot SecureAnywhere AntiVirus è interamente basato sul comportamento e il sistema di journaling e rollback di questo strumento per programmi sconosciuti può effettivamente invertire un attacco di ransomware. La società avverte che lo spazio disponibile per l'inserimento nel journal e il rollback è limitato.

Introduzione a Malwarebytes

Malwarebytes Anti-Ransomware è un programma piccolo e leggero che si installa in un batter d'occhio. La sua semplice finestra principale ha solo tre schede: Dashboard, Quarantena ed Esclusioni. La dashboard conferma semplicemente che la protezione è attiva e offre un collegamento per attivare e disattivare la protezione. Non vedrai nulla in quarantena a meno che il prodotto non impedisca un vero attacco ransomware.

Perché dovresti voler escludere un file dal rilevamento? Bene, questo è un prodotto beta ed è concepibile che un prodotto di crittografia legittimo possa rimanere intrappolato nella sua rete. Se si riscontra un tale falso positivo, è sufficiente salvarlo dalla quarantena e inserirlo nell'elenco delle esclusioni.

Test della protezione da ransomware

Testare la protezione da ransomware è più difficile che testare la protezione da malware per scopi generici. I programmi maliziosi stessi a volte guardano per i segni di test e giacciono bassi. Il rovescio della medaglia, se non stai attento con i campioni di ransomware del mondo reale, possono scappare dalla prigione della loro macchina virtuale e causare danni reali.

Prodotti come Panda Internet Security che funzionano controllando l'accesso ai file sono facili da testare. Ho piccoli programmi di test che esercitano questo tipo di protezione.

Con la protezione basata sul comportamento, tuttavia, a volte il mio unico ricorso è utilizzare il ransomware reale, in un ambiente attentamente controllato. Il mio test di ransomware è ancora in evoluzione. Al momento, ho tre campioni del mondo reale, minacce che ho raccolto da siti Web pericolosi. Malwarebytes ha fatto bene nel mio test pratico.

Il primo esempio di ransomware è lunatico. Spesso viene eseguito solo come processo in background senza fare nulla. Senza alcun comportamento, non può esserci alcun rilevamento basato sul comportamento, quindi Malwarebytes ottiene un passaggio su questo.

Malwarebytes ha catturato il secondo in flagrante, messo in quarantena e ha chiesto un riavvio per finalizzare la sua pulizia. Dopo il riavvio, ho osservato che durante l'analisi del comportamento di Malwarebytes, il ransomware è riuscito a crittografare diversi file. Per me, sembra una conseguenza naturale del rilevamento basato sul comportamento. Senza il comportamento del ransomware, non c'è rilevamento, giusto? Tuttavia, il mio contatto presso i byte di malware dice che si stanno "avvicinando molto alla soluzione di questo".

Il terzo campione cadde anche in preda a Malwarebytes. Dopo il riavvio, ho pensato per un momento che il ransomware fosse ancora in esecuzione, perché mostrava la sua richiesta di riscatto come file di testo, documento HTML e immagine PNG. Si scopre, tuttavia, che il ransomware ha semplicemente scaricato quei file nella cartella di avvio, quindi si aprivano all'avvio. Non è stata rilevata alcuna traccia dell'applicazione malware stessa. Anche in questo caso, il malware ha crittografato diversi file prima che iniziasse la protezione.

Ransomware simulato

L'unico modo completamente affidabile per testare il rilevamento di ransomware basato sul comportamento è utilizzare il ransomware reale. Qualsiasi simulazione che duplicasse completamente l'attività di una minaccia ransomware crittografica sarebbe essa stessa un malware. Tuttavia, questo non è un motivo per cancellare completamente i test con ransomware simulato.

KnowBe4, una società di formazione sulla sicurezza, ha rilasciato uno strumento gratuito chiamato RanSim, progettato per testare la protezione del tuo ransomware. Gestisce moduli che implementano dieci tecniche ransomware di crittografia comuni, nonché due tecniche simili ma innocue. In teoria, il miglior prodotto bloccherà tutte le tecniche di ransomware e lascerà soli quelli innocui.

Quando ho testato la protezione ransomware attiva integrata in Acronis True Image 2017 New Generation, ha bloccato tutti gli attacchi simulati tranne uno. Ovviamente, un backup completo, blindato contro modifiche non autorizzate, è di grande aiuto nel recupero da attacchi di malware.

RansomFree non ha rilevato nessuno degli attacchi simulati. I suoi progettisti hanno sottolineato che gli attacchi simulati influenzano solo i file a più livelli di cartella sotto la cartella Documenti, da nessun'altra parte. Nessun ransomware del mondo reale si comporta in questo modo.

Per quanto riguarda Malwarebytes, ha difeso attivamente otto dei 10 attacchi simulati, ma ne ha persi due. A causa dei problemi nell'uso del ransomware simulato, lo considero un vantaggio quando un prodotto rileva i moduli di RanSim, ma considero un errore di RanSim come non informativo, non negativo.

Aggiungi al tuo arsenale

Malwarebytes Anti-Ransomware Beta ha fatto bene nei miei semplici test pratici. Certo, alcuni ransomware hanno crittografato alcuni file, ma senza protezione avrebbe fatto molto, molto peggio. La protezione da ransomware è necessariamente una questione di livelli. Ciò che un componente ha perso, un altro potrebbe catturare. Ho aggiunto Malwarebytes all'arsenale di utility che proteggono il mio sistema di produzione principale, insieme a Norton Internet Security e Cybereason RansomFree.