Revisione e valutazione del micro ransombuster Trend

Il recente scoppio del ransomware BadRabbit ha colpito soprattutto le persone dentro e vicino alla Russia, non tanto negli Stati Uniti, ma non lasciare che ciò ti renda compiacente. Chissà dove colpirà il prossimo attacco? Hai bisogno di protezione contro i ransomware e il tuo antivirus potrebbe non essere sufficiente. Trend Micro RansomBuster offre molteplici livelli di protezione ed è gratuito sia per uso personale che aziendale. Tuttavia, i nostri test dimostrano che i livelli non sono tutti ugualmente efficaci.

RansomBuster è disponibile come download gratuito ed è anche un componente dei prodotti antivirus e della suite di sicurezza di Trend Micro. Allo stesso modo, il Cybereason RansomFree autonomo è anche un componente della suite di sicurezza su vasta scala di Cybereason.

Come RansomFree e Malwarebytes Anti-Ransomware Beta, anch'esso gratuito, RansomBuster è pensato per essere utilizzato insieme al tuo antivirus standard. Entrambi questi prodotti si concentrano sul rilevamento di ransomware in base al suo comportamento; RansomFree crea file di esche in posizioni strategiche per facilitare il rilevamento, come spiegherò. RansomBuster include anche il rilevamento basato sul comportamento, ma questa è solo una delle sue abilità.

Se RansomBuster rileva anche una debole possibilità di attività ransomware, effettua un backup sicuro dei file interessati. Nel momento in cui la possibilità diventa una certezza, termina il ransomware e utilizza il backup per ripristinare tutti i file interessati durante la sua analisi. Check Point ZoneAlarm Anti-Ransomware ripristina i file interessati in modo simile.

Un modo molto semplice per impedire ai ransomware di crittografare i file nella cartella Documenti (o altre cartelle sensibili) è semplicemente vietare tutte le modifiche da programmi non autorizzati. Utilizzi il tuo word processor di fiducia o l'editor di immagini come sempre, ma il componente Folder Shield impedisce l'accesso a qualsiasi programma sconosciuto. Bitdefender Antivirus Plus include una funzionalità simile, mentre Panda Internet Security vieta persino agli sconosciuti di leggere i tuoi file.

Introduzione a RansomBuster

L'installazione è semplice e veloce. Dopo l'installazione, il programma richiede di selezionare le cartelle che si desidera proteggere. La cartella Documenti viene preselezionata per impostazione predefinita, ma non diventare troppo selvaggio aggiungendo altre cartelle. Imparerai rapidamente che questa edizione gratuita può proteggere solo due cartelle. All'inizio sembrava una grande limitazione. Più tardi, mi sono reso conto che la semplice selezione della cartella C: \ Users dovrebbe proteggere la maggior parte dei documenti importanti.

La selezione di tali cartelle è l'unica opzione di configurazione; questo è un programma molto semplice e mirato. Dopo aver fatto questa scelta, RansomBuster viene eseguito in background, senza richiedere ulteriori interazioni se non incontra un attacco.

Test di Folder Shield

Per un rapido controllo della sanità mentale, ho lanciato un piccolo editor di testo che ho scritto da solo. Questo programma non esiste da nessuna parte ma sul mio PC di prova, quindi si qualifica sicuramente come un programma sconosciuto. Ho tentato di modificare alcuni file di testo nella cartella Documenti. RansomBuster ha segnalato in modo abbastanza corretto l'accesso non autorizzato, dandomi la possibilità di bloccare tale accesso o aggiungere il programma all'elenco di fiducia. Dopo un po ', ha scelto automaticamente l'opzione di blocco. La stessa cosa è successa quando ho provato un programma semplice e codificato a mano che simula il comportamento ransomware di crittografia.

Successivamente, ho tirato fuori le grosse pistole: sei campioni di ransomware nel mondo reale. Inizialmente, le cose sembravano buone. Folder Shield ha bloccato cinque dei campioni, mentre il rilevamento basato sul comportamento ha catturato il sesto punto prima che potesse persino innescare una reazione da Folder Shield. Ho osservato che se scegli accidentalmente di fidarti di un programma che risulta essere un ransomware, anche il sistema di rilevamento basato sul comportamento lo ignora. Leggi attentamente le notifiche e affidati solo ai programmi di cui sei sicuro.

Uno sguardo più attento rivelò che le cose non erano del tutto esagerate. Uno degli esempi di ransomware ha crittografato un file in una cartella sul desktop prima di essere catturato da Folder Shield, poiché il desktop non era protetto. Un altro ha crittografato una dozzina di file dentro e sotto la cartella Desktop e ha lasciato cadere le note di riscatto in molti di essi. Ho osservato che i file interessati erano tipi che la maggior parte considererebbe meno importanti. Includevano collegamenti, file della Guida, file di registro e un paio di file CSV. Il mio contatto presso Trend Micro ha confermato che quei tipi non sono tra i quasi 40 tipi di file monitorati dal sistema di rilevamento basato sul comportamento.

Test del rilevamento basato sul comportamento

Folder Shield può proteggere solo il contenuto di due cartelle, ma il sistema di rilevamento basato sul comportamento mira a contrassegnare un comportamento simile a un ransomware, indipendentemente da dove si verifichi. Per un test specifico per il rilevamento basato sul comportamento, ho disabilitato Folder Shield e ripetuto i miei test di ransomware nel mondo reale. I risultati non sono stati belli.

RansomBuster ha raccolto tre dei sei campioni. Chiamò uno di loro sospettoso e lo terminò prima che potesse intraprendere azioni nefaste. Ha identificato gli altri due come ransomware, elencato i file che erano stati crittografati e riportato un recupero riuscito.

Tuttavia, gli altri tre campioni hanno funzionato dilagando, crittografando i file a destra e a sinistra e mostrando le loro note di riscatto, il tutto senza una sbirciatina da RansomBuster. Testato con questi stessi campioni, ZoneAlarm ha rilevato tutti e sei e recuperato tutti i file. L'unico errore di ZoneAlarm? In un caso ha riferito di non essere riuscito a ripristinare tutti i file, mentre in verità non aveva fallito.

La protezione ransomware integrata in Acronis True Image ha rilevato tutti gli esempi tranne uno, ripristinando qualsiasi file interessato dal suo backup online sicuro. RansomFree ha anche rilevato tutti tranne uno. Malwarebytes li ha rilevati tutti, ma in un caso il ransomware ha crittografato alcuni file prima di essere neutralizzato.

Risultati misti

Apprezzo il fatto che Trend Micro offra RansomBuster gratuitamente. Vorrei solo che funzionasse meglio. Folder Shield è efficace, ma nel testare il rilevamento basato sul comportamento non ha funzionato bene. Se sei un grande fan di Trend Micro potresti prenderlo in considerazione. Ma se sei un grande fan di Trend Micro, probabilmente hai già questa protezione nel tuo antivirus o nella tua suite di sicurezza.

La scelta dei nostri redattori per la protezione dai ransomware è ZoneAlarm Anti-Ransomware. Non è gratuito, ma a $ 2, 99 al mese non romperà la banca e si è difeso con successo contro tutti i nostri campioni di ransomware nel mondo reale. Anche la versione beta gratuita di Malwarebytes Anti-Ransomware ha rilevato tutti i campioni, sebbene abbia perso un paio di file per la crittografia e Cybereason RansomFree ha rilevato e bloccato con successo tutti tranne uno. Se vuoi rafforzare la protezione del tuo ransomware oltre a ciò che è integrato nel tuo antivirus, una di queste utility è una scelta migliore.