proč potřebujete ochranu Ransomware

Malware přichází v mnoha příchutích. Trojské koně se maskují jako platné programy, zatímco tajně kradou vaše data. Bots získat svůj počítač v zombie armády, které mají být použity proti jakémukoli cíli bot-pastevec touhy. A ransomware šifruje vaše základní soubory a poté vyžaduje tvrdou hotovost, aby je obnovil. Čas od času se zbrusu nový útok může dostat přes váš antivirový program, ale obvykle se aktualizace k vyřešení problému objeví během několika dnů nebo dokonce hodin.,

není skvělé mít virus nebo Trojan zamořit váš počítač, způsobit zmatek na několik dní a pak se odstranit antivirovou aktualizací, ale je to přežitelné. Když se však jedná o ransomware, je to jiný příběh. Vaše soubory jsou již zašifrovány, takže odstranění pachatele vám nepomůže a může dokonce zasahovat do vaší schopnosti zaplatit výkupné, pokud se rozhodnete tak učinit. Některé bezpečnostní produkty zahrnují ochranné vrstvy specifické pro ransomware a můžete také přidat ochranu specifickou pro ransomware jako pomocníka pro vaše stávající zabezpečení.,

je to ještě horší, když vaše firma napadne ransomware. V závislosti na povaze podnikání může každá hodina ztracené produktivity stát tisíce dolarů nebo dokonce více. Naštěstí, zatímco ransomware útoky jsou na vzestupu, tak jsou techniky pro boj s těmito útoky. Zde se podíváme na nástroje, které můžete použít k ochraně před ransomwarem.

co je Ransomware a jak ho získáte?

předpoklad ransomwaru je jednoduchý. Útočník najde způsob, jak si něco vzít, a požaduje platbu za jeho návrat., Šifrování ransomware, nejběžnější typ, odebírá přístup k důležitým dokumentům tím, že je nahradí šifrovanými kopiemi. Zaplaťte výkupné a získáte klíč k dešifrování těchto dokumentů (doufáte). Existuje další typ ransomwaru, který popírá veškeré používání vašeho počítače nebo mobilního zařízení. Tento ransomware screen locker je však snazší porazit a prostě nepředstavuje stejnou úroveň hrozby jako šifrování ransomwaru. Snad nejškodlivějším příkladem je malware, který šifruje celý váš pevný disk a činí počítač nepoužitelným. Naštěstí je tento poslední typ neobvyklý.,

Pokud jste zasaženi útokem ransomware, nejprve to nebudete vědět. Nezobrazuje obvyklé známky toho, že máte malware. Šifrování ransomware funguje na pozadí, jehož cílem je dokončit jeho ošklivé poslání, než si všimnete jeho přítomnosti. Po dokončení práce se vám dostane do tváře a zobrazí pokyny, jak zaplatit výkupné a získat zpět své soubory. Pachatelé samozřejmě vyžadují nevysledovatelnou platbu; Bitcoin je populární volbou. Ransomware může také obětem nařídit, aby si zakoupili dárkovou kartu nebo předplacenou debetní kartu a dodali číslo karty.,

pokud jde o to, jak uzavřete tuto zamoření, poměrně často se to děje prostřednictvím infikovaného dokumentu PDF nebo Office, který vám byl zaslán v e-mailu, který vypadá legitimně. Může se dokonce zdát, že pochází z adresy v doméně vaší společnosti. To se zdá být to, co se stalo s útokem WannaCry ransomware před několika lety. Pokud máte nejmenší pochybnosti o legitimitě e-mailu, neklikejte na odkaz a nahlaste jej svému IT oddělení.

ransomware je samozřejmě jen další druh malwaru a jakýkoli způsob doručení malwaru by vám to mohl přinést., Například stahování disku hostované škodlivou reklamou na jinak bezpečném webu. Tuto pohromu můžete dokonce uzavřít vložením třpytivé jednotky USB do počítače, i když je to méně běžné. Pokud budete mít štěstí, váš nástroj na ochranu proti malwaru jej okamžitě zachytí. Pokud ne, můžete mít potíže.

CryptoLocker a Další Šifrování Malware

Až do masivní WannaCry útok, CryptoLocker byl asi nejlepší-známý ransomware napětí. Objevila se před několika lety., Mezinárodní konsorcium donucovacích a bezpečnostních agentur sundal skupina za CryptoLocker, ale jiné skupiny, nechala jméno naživu, použití na vlastní škodlivým výtvory.

Slábnoucí Pole

před Několika lety, můžete si vybrat z tuctu nebo tak samostatná ransomware nástroje ochrany spotřebitelů bezpečnostní společnosti, a mnoho z těchto nástrojů jsou zdarma. Většina z nich od té doby zmizela, z nějakého důvodu., Například ochrana Acronis Ransomware bývala volným samostatným nástrojem, ale nyní se objevuje pouze jako součást zálohovacího softwaru společnosti. Podobně, Malwarebytes Anti-Ransomware nyní existuje pouze jako součást plné Malwarebytes Premium. Pokud jde o Heilig Defense RansomOff, jeho webová stránka jen říká: „RansomOff se v určitém okamžiku vrátí.“

několik nástrojů pro ochranu ransomwaru pochází od podnikových bezpečnostních společností, které se rozhodly udělat světu službu tím, že nabízejí pouze svou komponentu ransomware jako freebie pro spotřebitele., A poměrně málo z nich také spadlo na vedlejší kolej, protože společnosti zjistí, že bezplatný produkt spotřebovává podpůrné zdroje. Například CyberSight RansomStopper již není u nás a Cybereason RansomFree byl rovněž přerušen.

Bitdefender Anti-Ransomware je pryč z praktičtějšího důvodu. I když existovala, vyžadovala neobvyklý přístup. Ransomware útočník, který šifrované stejné soubory, a dvakrát by se nebezpečí, že ztratíme schopnost je dešifrovat, takže mnoho těchto programů nechat nějakou značku, aby se zabránilo double-namáčení., Bitdefender by napodobil značky pro mnoho známých typů ransomwaru a ve skutečnosti jim řekl: „pokračujte! Už jsi tu byl!“Tento přístup se ukázal jako příliš omezený na to, aby byl praktický. Zdá se, že i CryptoDrop zmizel, i když jeho webové stránky zůstávají.

Ransomware Využití

I když ransomware dostane přes vašeho systému, šance jsou dobré, že v krátké době antivirus update bude jasné, útočník z vašeho systému. Problém je samozřejmě v tom, že odstranění samotného ransomwaru nedostane vaše soubory zpět., Jedinou spolehlivou zárukou obnovy je udržování vytvrzené Cloudové zálohy vašich důležitých souborů.

přesto existuje slabá šance na zotavení, v závislosti na tom, který kmen ransomware šifroval vaše soubory. Pokud vám váš antivirový program (nebo výkupné) dá jméno, je to skvělá pomoc. Mnoho antivirových dodavatelů, mezi nimi Kaspersky, Trend Micro a Avast, udržuje sbírku jednorázových dešifrovacích nástrojů. V některých případech nástroj potřebuje nešifrovaný originál jednoho šifrovaného souboru, aby věci napravil. V ostatních případech, jako je TeslaCrypt, je k dispozici Hlavní dešifrovací klíč.,

ale ve skutečnosti nejlepší obrana proti ransomwaru zahrnuje to, aby se vaše soubory nedostaly jako rukojmí. K dosažení tohoto cíle existuje řada různých přístupů.

Anti-Ransomware Strategie

dobře navržený antivirový nástroj by měl eliminovat ransomware na pohled, ale ransomware návrháři jsou složité. Tvrdě pracují na tom, aby obešli jak detekci malwaru založeného na podpisu staré školy, tak flexibilnější moderní techniky. To trvá jen jedna chybička váš antivirový nechat nové, neznámé ransomware útok vykreslení soubory nepoužitelné., I když antivirový program dostane aktualizaci, která odstraní ransomware, nemůže soubory vrátit zpět.

moderní antivirové nástroje doplňují detekci založenou na podpisu nějakou formou monitorování chování. Někteří se spoléhají výhradně na sledování škodlivého chování, spíše než na hledání známých hrozeb. A detekce založená na chování zaměřená konkrétně na chování ransomwaru související se šifrováním je stále častější.

Ransomware obvykle jde po souborech uložených na běžných místech, jako je plocha a složka Dokumenty., Některé antivirové nástroje a bezpečnostní sady fólie ransomware útoky tím, že odepře neoprávněný přístup k těmto místům. Obvykle předem autorizují známé dobré programy, jako jsou textové procesory a tabulky. Při jakémkoli pokusu o přístup neznámým programem se vás, uživatele, zeptají, zda povolit přístup. Pokud toto oznámení vyjde z modré, ne z něčeho, co jste udělali sami, zablokujte to!

samozřejmě, pomocí online zálohovacího nástroje, který udržuje aktuální zálohu vašich základních souborů, je nejlepší obranou proti ransomwaru., Nejprve vykořeníte škodlivý malware, možná s pomocí technické podpory antivirové společnosti. Po dokončení tohoto úkolu jednoduše obnovíte zálohované soubory. Všimněte si, že některé ransomware pokusí zašifrovat zálohy stejně. Záložní systémy, ve kterých se vaše zálohované soubory objevují na virtuální diskové jednotce, mohou být obzvláště zranitelné. Poraďte se se svým poskytovatelem zálohování a zjistěte, jakou obranu má produkt proti ransomwaru.,

detekce chování ransomwaru

během své životnosti měl bezplatný nástroj Cybereason ransomfree jediný účel: detekovat a odvrátit útoky ransomware. Jednou z velmi viditelných vlastností tohoto nástroje bylo vytvoření souborů „návnady“ v místech, na která se obvykle zaměřuje ransomware. Jakýkoli pokus o úpravu těchto souborů spustil ransomware takedown. Spoléhal se také na jiné formy detekce založené na chování, ale jeho tvůrci se přirozeně zdráhali nabídnout spoustu detailů. Proč říkat padouchy, jaké chování se vyhnout?, Bohužel, udržování tohoto bezplatného produktu pro spotřebitele se ukázalo jako nepraktické pro podnik zaměřenou společnost.

Kaspersky Security Cloud Zdarma a pár dalších také použít chování-based detection zapsat nějaké ransomware, který obchází své pravidelné antivirus. Nepoužívají soubory „návnady“; spíše pečlivě sledují, jak programy zpracovávají vaše skutečné dokumenty. Při odhalování ransomwaru tuto hrozbu karanténou.

Check Point ZoneAlarm Anti-Ransomware také využívá návnadu soubory, ale nejsou tak viditelné, jako RansomFree. A jasně, používá další vrstvy ochrany., Při testování porazil všechny naše vzorky ransomwaru v reálném světě, opravil všechny postižené soubory a dokonce odstranil falešné výkupné, které zobrazil jeden vzorek.

Webroot SecureAnywhere AntiVirus spoléhá na vzorce chování k detekci všech typů malwaru, nejen ransomwaru. Ponechává známé dobré procesy samotné a eliminuje známý malware. Pokud program nepatří do žádné skupiny, Webroot pečlivě sleduje jeho chování. Blokuje nevědomky z tvorby připojení k internetu, a to časopisy každou místní akci. Mezitím ve Webroot central neznámý program prochází hlubokou analýzou., Pokud se ukáže, že je škodlivý, Webroot používá data v deníku k vrácení každé akce programem, včetně šifrování souborů. Společnost varuje, že databáze časopisů není neomezená a doporučuje udržovat všechny důležité soubory zálohované. V nedávném testu, Webroot je journal-and-rollback technika ukázala zcela efektivní.

Pokud bezplatný Trend Micro RansomBuster detekuje podezřelý proces pokoušející se o šifrování souborů, zálohuje soubor a neustále sleduje., Když zjistí, proces vytváření více šifrování pokusy v rychlém sledu, to izoluje proces, upozorní uživatele a obnoví zálohované soubory. Při testování tato funkce vynechala polovinu vzorků ransomwaru v reálném světě, které jsme na ni způsobili. Trend Micro potvrzuje, že ochrana ransomware je lepší s vícevrstvou ochranou Trend Micro Antivirus + Security.

hlavním účelem Acronis True Image je zálohování, samozřejmě, ale modul Acronis Active Protection tohoto produktu sleduje a zabraňuje chování ransomwaru., Používá whitelisting, aby se zabránilo falešně označování platných nástrojů, jako je šifrovací software. Aktivně také chrání hlavní proces Acronis před modifikací a zajišťuje, že žádný jiný proces nemá přístup k zálohovaným souborům. Pokud se ransomware podaří šifrovat některé soubory před odstraněním, Acronis je může obnovit z nejnovější zálohy.

Zabrání Neoprávněnému Přístupu

Pokud je zbrusu nový ransomware program, dostane přes Trend Micro Antivirus+ Security nebude schopen udělat mnoho škody., Funkce Folder Shield chrání soubory v dokumentech a obrázcích, v místních složkách, které představují online úložiště pro služby synchronizace souborů a na jednotkách USB. Avast přidal velmi podobnou funkci jako Avast Premium Security.

bezplatný samostatný RansomBuster Trend Micro chrání pouze dvě vybrané složky a jejich podsložky. Žádný neoprávněný program nemůže odstranit nebo upravit soubory v chráněné zóně, i když je povoleno vytváření souborů. Kromě toho společnost nabízí horkou linku ransomware, která je k dispozici komukoli, dokonce i zákazníkům., Na stránce horké linky najdete nástroje, jak porazit nějaký ransomware screen locker a dešifrovat některé soubory šifrované ransomwarem.

Panda Dome Essential a Panda Dome Complete nabízejí funkci nazvanou datový štít. Ve výchozím nastavení datový štít chrání složku Dokumenty (a její podsložky) pro každý uživatelský účet systému Windows. Chrání konkrétní typy souborů, včetně dokumentů Microsoft Office, obrázků, zvukových souborů a videa. V případě potřeby můžete přidat další složky a typy souborů., A Panda chrání před veškerým neoprávněným přístupem, dokonce i čtením dat chráněného souboru, takže také chrání trojské koně, kteří kradou data.

testování tohoto druhu obrany je dost snadné. Napsali jsme velmi jednoduchý textový editor, který zaručuje, že nebude whitelisted systémem ochrany ransomware. Pokusili jsme se přistupovat a upravovat chráněné soubory. A téměř v každém případě jsme ověřili, že obrana funguje.

Obnova souborů

nejjistějším způsobem, jak přežít útok ransomware, je udržovat bezpečnou a aktuální zálohu všech vašich základních souborů., Kromě zálohování souborů Acronis True Image aktivně pracuje na detekci a prevenci útoku ransomware. Očekáváme, že podobné funkce uvidíme v jiných záložních nástrojích.

CryptoDrop Anti-Ransomware udržována kopie vašich citlivých souborů v zabezpečené složce, která není viditelná pro jiné procesy. Bohužel, zatímco web CryptoDrop stále existuje, stal se podivným mixem reklam a zbytkového obsahu, bez stopy samotného nástroje.

jak bylo uvedeno, když Trend Micro detekuje podezřelý proces šifrování souboru, zálohuje soubor., Pokud vidí nával podezřelé šifrovací aktivity, karantény proces a obnoví zálohované soubory. ZoneAlarm také sleduje podezřelou aktivitu a opravuje jakékoli škody způsobené procesy, které se ukáží jako ransomware.

NeuShield data Sentinel má neobvyklý přístup. Vzhledem k tomu, že ransomware musí oznámit svou přítomnost a požádat o výkupné, nepokouší se detekovat aktivitu ransomwaru. Spíše virtualizuje změny systému souborů do chráněných složek a umožňuje zvrátit všechny změny po útoku., Chcete-li se zbavit samotného ransomwaru, vrátí systém zpět do stavu předchozího dne. Při testování se ukázalo, že je efektivní, i když můžete ztratit jednodenní změny ve vašich souborech.

Ransomware očkování

ransomware pachatelé ztratí důvěryhodnost, pokud se jim nepodaří dešifrovat soubory pro ty, kteří zaplatí výkupné. Šifrování stejné sady dokumentů vícekrát by mohlo ztížit nebo dokonce nemožné provést toto dešifrování. Většina programů ransomware proto zahrnuje nějaký druh kontroly, aby se ujistil, že neútočí na již infikovaný systém., Například Petya ransomware nejprve zkontroloval přítomnost určitého souboru. Vytvořením falešné verze tohoto souboru byste mohli účinně očkovat počítač proti Péťovi.

Bitdefender Anti-Ransomware během své existence velmi specificky zabránil zamoření TeslaCrypt, BTC-Locker, Locky a prvním vydáním Petya. Nemělo to žádný vliv na Sage, Cerber, pozdější verze Petya nebo na jakoukoli jinou rodinu ransomware. A rozhodně to nemohlo pomoci proti zcela novému kmeni, jak to dokáže detekční systém založený na chování., Toto omezení, spolu s někdy-měnící se povaha malwaru, způsobené Bitdefender stáhnout nástroj, spoléhat se místo toho na silný ransomware ochranu jeho full-scale antivirus.

testování nástrojů proti ransomwaru

nejviditelnějším způsobem testování ochrany ransomware je uvolnění skutečného ransomwaru v kontrolovaném prostředí a pozorování, jak dobře se produkt brání proti němu. To je však možné pouze v případě, že produkt umožňuje vypnout normální antivirový program v reálném čase a zároveň ponechat aktivní detekci ransomwaru., Testování je samozřejmě jednodušší, pokud je dotyčný produkt věnován výhradně ochraně ransomware, bez univerzální antivirové komponenty.

kromě toho jsou vzorky ransomwaru obtížně řešitelné. Z bezpečnostních důvodů je provozujeme ve virtuálním počítači bez připojení k internetu nebo síti. Někteří nebudou běžet vůbec ve virtuálním počítači. Jiní nedělají nic bez připojení k internetu. A jsou prostě nebezpeční! Při analýze nového vzorku a určení, zda jej přidat do sbírky, ponecháme odkaz otevřený složce protokolu na hostiteli virtuálního počítače., Dvakrát jsme měli vzorek ransomware oslovit a začít šifrovat tyto protokoly.

KnowBe4 se specializuje na školení jednotlivců a zaměstnanců, aby nedošlo k zasažení phishingovými útoky. Phishing je jedním ze způsobů, jak kodéry malwaru distribuují ransomware, takže vývojáři ve KnowBe4 vytvořili simulátor ransomware s názvem RanSim. RanSim simuluje 10 typů ransomware útoku, spolu se dvěma neškodné (ale podobné) chování. Dobré skóre RanSim je určitě plus, ale nízké skóre nepovažujeme za mínus., Některé chování-založené systémy, jako jsou RansomFree nezaznamenal simulace, protože žádné skutečné ransomware limity své činnosti tak, aby podsložky čtyři úrovně níže složce Dokumenty.

co zde není

tento článek se konkrétně zabývá řešeními ochrany ransomware, která jsou k dispozici spotřebitelům. Nemá cenu včetně zdarma, jeden-off dešifrování nástroje, jelikož nástroj, který potřebujete zcela závisí na tom, které ransomware šifrované soubory. Lepší je zabránit útoku na prvním místě.,

CryptoPrevent Premium, vytvořený když CryptoLocker byl nový, slíbil několik úrovní ochrany ransomware založené na chování. Nicméně, na nejvyšší úroveň zabezpečení, to zaplavila plochu s návnadou soubory, a dokonce i na této úrovni, několik reálných vzorků proklouzl jeho detekce. Tento nástroj nemůžeme doporučit v současné podobě.

také jsme vynechali ransomware řešení zaměřená na velké podniky, které obvykle vyžadují centrální správu nebo dokonce dedikovaný server., Například Bitdefender GravityZone Elite a Sophos Intercept X jsou mimo rozsah našich recenzí, hodné, i když tyto služby mohou být.

unce prevence

získání souborů zpět po útoku je dobré, ale úplné zabránění tomuto útoku je ještě lepší. Níže uvedené produkty mají různé přístupy k udržení vašich souborů v bezpečí. Ochrana Ransomware je vyvíjející se pole; šance jsou dobré, že jak se vyvíjí ransomware, budou se také vyvíjet nástroje proti ransomwaru. Prozatím je ZoneAlarm Anti-Ransomware naší nejlepší volbou pro bezpečnostní ochranu specifickou pro ransomware., Zjistil všechny naše vzorky ransomware, včetně disku šifrování Petya a opravil všechny soubory poškozené ransomware. Pokud se váš rozpočet neroztahuje na placení doplňku ochrany ransomware, zvažte přechod na antivirovou nebo bezpečnostní sadu, která obsahuje vrstvu ochrany specifickou pro ransomware.