Hvorfor Du har Brug for Ransomware Beskyttelse

Malware kommer i mange varianter. Trojanere maskerade som gyldige programmer, mens hemmeligt stjæle dine data. Bots hverve din PC i en .ombie hær, der skal bruges mod uanset mål bot-herder ønsker. Og ransom .are krypterer dine vigtige filer og kræver derefter hårde kontanter for at gendanne dem. Fra tid til anden kan et helt nyt angreb komme forbi din antivirus, men typisk vises en opdatering til løsning af problemet inden for et par dage eller endda timer.,

det er ikke fantastisk at få en virus eller Trojan til at angribe din PC, ødelægge i et par dage og derefter blive elimineret af en antivirusopdatering, men den kan overleve. Når ransom .are er involveret, er det dog en anden historie. Dine filer er allerede krypteret, så fjerne gerningsmanden gør dig noget godt, og kan endda forstyrre din evne til at betale løsesummen, bør du vælge at gøre det. Nogle sikkerhedsprodukter inkluderer beskyttelseslag, der er specifikke for ransom .are, og du kan også tilføje ransom .are-specifik beskyttelse som en hjælper til din eksisterende sikkerhed.,

det er endnu værre, når din virksomhed bliver angrebet af Ransom .are. Afhængigt af arten af virksomheden, hver time af tabt produktivitet kan koste tusindvis af dollars, eller endnu mere. Heldigvis, mens ransom .are angreb er stigende, så er teknikker til bekæmpelse af disse angreb. Her ser vi på værktøjer, du kan bruge til at beskytte dig mod ransom .are.

Hvad er Ransom ?are, og hvordan får du det?

forudsætningen for ransom .are er enkel. Angriberen finder en måde at tage noget af din, og kræver betaling for dens tilbagevenden., Kryptering af Ransom .are, den mest almindelige type, fjerner adgang til dine vigtige dokumenter ved at erstatte dem med krypterede kopier. Betal løsesummen, og du får nøglen til at dekryptere disse dokumenter (du håber). Der er en anden type ransom .are, der nægter al brug af din computer eller mobile enhed. Men, denne screen locker ransom .are er lettere at besejre, og bare ikke udgør det samme niveau af trussel som kryptering ransom .are. Måske er det mest skadelige eksempel Mal .are, der krypterer hele din harddisk, hvilket gør computeren ubrugelig. Heldigvis er denne sidste type usædvanlig.,

Hvis du bliver ramt af et ransom .are-angreb, ved du det ikke først. Det viser ikke de sædvanlige tegn på, at du har fået Mal .are. Kryptering af Ransom .are fungerer i baggrunden med det formål at fuldføre sin grimme mission, før du bemærker dens tilstedeværelse. Når du er færdig med jobbet, det bliver i dit ansigt, viser instruktioner til, hvordan at betale løsesummen og få dine filer tilbage. Naturligvis kræver gerningsmændene ikke sporbar betaling; Bitcoin er et populært valg. Den ransom .are kan også instruere ofrene til at købe et gavekort eller forudbetalt betalingskort og levere kortnummeret.,

hvad angår hvordan du kontraherer denne angreb, sker det ofte gennem et inficeret PDF-eller Office-dokument sendt til dig i en e-mail, der ser legitim ud. Det kan endda synes at komme fra en adresse inden for din virksomheds domæne. Det synes at være, hvad der skete med attackannacry ransom .are angreb et par år siden. Hvis du har den mindste tvivl om legitimiteten af e-mailen, skal du ikke klikke på linket og rapportere det til din IT-afdeling.selvfølgelig er ransom .are bare en anden form for Mal .are, og enhver Mal .are-leveringsmetode kan bringe det til dig., En drive-by do .nload hostet af en ondsindet reklame på et ellers sikkert sted, for eksempel. Du kan endda indgå denne svøbe ved at indsætte et gimmicked USB-drev i din PC, selvom dette er mindre almindeligt. Hvis du er heldig, vil din mal .are beskyttelse nytte fange det samme. Hvis ikke, kan du være i problemer.

CryptoLocker og Andre Kryptering af Malware

Indtil den massive WannaCry angreb, CryptoLocker var sandsynligvis den bedst kendte ransomware stamme. Det dukkede op for flere år siden., Et internationalt konsortium af retshåndhævelses-og sikkerhedsagenturer tog ned gruppen bag CryptoLocker, men andre grupper holdt navnet i LIVE og anvendte det på deres egne ondsindede kreationer.

et svindende felt

For flere år siden kunne du vælge mellem et dusin eller så uafhængige ransom .are-beskyttelsesværktøjer fra forbrugersikkerhedsfirmaer, og mange af disse værktøjer var gratis. De fleste af dem er siden forsvundet af en eller anden grund., For eksempel, Acronis Ransom .are Protection plejede at være en gratis standalone værktøj, men nu er det kun vises som en komponent i virksomhedens backup-soft .are. Ligeledes, Mal .arebytes Anti-Ransom .are eksisterer nu kun som en del af den fulde Mal .arebytes Premium. Som for Heilig Defense RansomOff, sin webebside siger bare ” RansomOff vil være tilbage på et tidspunkt.”

Et par ransomware beskyttelse værktøjer kommer fra virksomhedens sikkerhed virksomheder, der besluttede at gøre verden en tjeneste ved at tilbyde netop deres ransomware komponent som en freebie for forbrugerne., Og en hel del af dem er også faldet ved vejen, da virksomheder finder ud af, at det gratis produkt spiser supportressourcer. For eksempel, CyberSight RansomStopper er ikke længere med os, og Cybereason RansomFree er ligeledes blevet afbrudt.Bitdefender Anti-Ransom .are er væk af en mere praktisk grund. Mens det eksisterede, tog det en usædvanlig tilgang. En ransom .are-angriber, der krypterede de samme filer to gange, risikerer at miste evnen til at dekryptere dem, så mange sådanne programmer efterlader en slags markør for at undgå dobbeltdypning., Bitdefender ville efterligne markørerne for mange kendte ransom !are typer, faktisk fortæller dem, “kom videre! Du har allerede været her!”Denne tilgang viste sig at være for begrænset til at være praktisk. CryptoDrop synes også at være forsvundet, selvom dens hjemmeside forbliver.

Ransom .are Recovery

selv hvis ransom .are kommer forbi din antivirus, chancerne er gode, at inden for en kort tid en antivirus opdatering vil rydde angriberen fra dit system. Problemet er, selvfølgelig, at fjerne ransom .are selv ikke får dine filer tilbage., Den eneste pålidelige garanti for inddrivelse er at opretholde en hærdet sky backup af dine vigtige filer.

alligevel er der en svag chance for genopretning, afhængigt af hvilken ransom .are stamme krypterede dine filer. Hvis din antivirus (eller løsesum notat) giver dig et navn, det er en stor hjælp. Mange antivirusleverandører, blandt dem Kaspersky, Trend Micro og Avast, opretholder en samling af engangsdekrypteringsværktøjer. I nogle tilfælde har værktøjet brug for den ukrypterede original af en enkelt krypteret fil for at sætte tingene rigtigt. I andre tilfælde, såsom TeslaCrypt, en master dekrypteringsnøgle er tilgængelig.,

men virkelig, det bedste forsvar mod ransom .are indebærer at holde det fra at tage dine filer som gidsler. Der er en række forskellige tilgange til at nå dette mål.

Anti-Ransomware Strategier

En godt designet med antivirusfunktioner, burde fjerne ransomware på sigt, men ransomware designere er en vanskelig opgave. De arbejder hårdt for at omgå både old-school signatur-baserede Mal .are afsløring og mere fleksible moderne teknikker. Det tager kun onen slipup af din antivirus til at lade en ny, ukendt ransom .are angreb gøre dine filer ubrugelige., Selv hvis antivirus får en opdatering, der fjerner ransom .are, det kan ikke bringe tilbage filerne.moderne antivirusværktøjer supplerer signaturbaseret detektion med en form for adfærdsovervågning. Nogle er udelukkende afhængige af at se efter ondsindet adfærd snarere end at lede efter kendte trusler. Og adfærdsbaseret detektion specifikt rettet mod kryptering-relaterede ransom .are adfærd bliver mere almindelig.ransom .are går typisk efter filer gemt på almindelige steder som skrivebordet og mappen Dokumenter., Nogle antivirus værktøjer og sikkerhed suiter folie ransom .are angreb ved at nægte uautoriseret adgang til disse steder. Typisk forhåndsgodkender de kendte gode programmer som tekstbehandlere og regneark. På ethvert adgangsforsøg fra et ukendt program spørger de dig, brugeren, om du vil tillade adgang. Hvis denne meddelelse kommer ud af det blå, ikke fra noget, du selv gjorde, bloker det!

selvfølgelig, ved hjælp Af en online backup-værktøj til at holde et up-to-date backup af dine vigtige filer, er det bedste forsvar mod ransomware., Først, du udrydde den ulovlige Mal .are, måske med hjælp fra din antivirus virksomhedens teknisk support. Med denne opgave komplet, skal du blot gendanne dine sikkerhedskopierede filer. Bemærk, at nogle ransom .are forsøger at kryptere dine sikkerhedskopier samt. Backup-systemer, hvor dine sikkerhedskopierede filer vises i et virtuelt diskdrev, kan være særligt sårbare. Kontakt din backupudbyder for at finde ud af, hvilke forsvar produktet har mod ransom .are.,

Detektering Ransomware Adfærd

i Løbet af sin levetid, Cybereason er gratis RansomFree utility kun havde ét formål: at registrere og afværge ransomware angreb. Et meget synligt træk ved dette værktøj var dets oprettelse af” agn ” – filer på steder, der typisk er målrettet mod ransom .are. Ethvert forsøg på at ændre disse filer udløste en ransom .are Takedo .n. Det var også afhængig af andre former for adfærdsbaseret detektion, men dens skabere var naturligvis tilbageholdende med at tilbyde en masse detaljer. Hvorfor fortælle de onde, hvilke adfærd man skal undgå?, Desværre viste det sig at være upraktisk for det virksomhedsfokuserede firma at opretholde dette gratis produkt for forbrugerne.Kaspersky Security Cloud Free og en hel del andre bruger også adfærdsbaseret detektion til at fjerne enhver ransom .are, der kommer forbi din almindelige antivirus. De bruger ikke “agn” – filer; snarere holder de øje med, hvordan programmer behandler dine faktiske dokumenter. Ved detektering af Ransom .are karantæne de truslen.

Check Point ZoneAlarm Anti-Ransomware bruger også agn filer, men de er ikke så synlige som RansomFree ‘ s. Og det er klart bruger andre lag af beskyttelse., Det besejrede alle vores virkelige verden ransom .are prøver i test, fastsættelse eventuelle berørte filer og endda fjerne de falske løsesum bemærker, at en prøve vises.

Webroot SecureAnywhere AntiVirus er baseret på adfærdsmønstre, for at finde alle typer af malware, ikke bare ransomware. Det efterlader kendte gode processer alene og eliminerer kendt Mal .are. Når ET program tilhører ingen af grupperne, overvågerbroebroot nøje sin adfærd. Det blokerer ukendte fra at oprette internetforbindelser, og det tidsskrifter enhver lokal handling. I mellemtiden, hos .ebroot central, gennemgår det ukendte program dyb analyse., Hvis det viser sig at være ondsindet, bruger .ebroot de journaliserede data til at fortryde enhver handling fra programmet, herunder kryptering af filer. Virksomheden advarer om, at tidsskriftsdatabasen ikke er ubegrænset i størrelse, og rådgiver om at holde alle vigtige filer sikkerhedskopieret. I en nylig test viste techniqueebroot ‘ s journal-and-rollback-teknik sig helt effektiv.

Hvis den gratis Trend Micro RansomBuster registrerer en mistænkelig proces, der forsøger filkryptering, sikkerhedskopierer den filen og holder øje med., Når den registrerer en proces, der gør flere krypteringsforsøg hurtigt efter hinanden, sætter den i karantæne processen, underretter brugeren og gendanner de sikkerhedskopierede filer. I test, Denne funktion savnede halvdelen af den virkelige verden ransom .are prøver vi påført det. Trend Micro bekræfter, at ransom .are-beskyttelse er bedre med den flerlagede beskyttelse af Trend Micro Antivirus+ Security.hovedformålet med Acronis True Image er selvfølgelig backup, men dette produkts Acronis Active Protection module holder øje med og forhindrer ransom .are adfærd., Det bruger whithitelisting at undgå falsk markering gyldige værktøjer såsom krypteringssoft .are. Det beskytter også aktivt den vigtigste Acronis-proces mod ændring og sikrer, at ingen anden proces kan få adgang til sikkerhedskopierede filer. Hvis ransom .are formår at kryptere nogle filer, før de fjernes, Acronis kan gendanne dem fra den nyeste backup.

Forhindrer Uautoriseret Adgang

Hvis det er et helt nyt ransomware program, får tidligere Trend Micro Antivirus+ Sikkerhed, det vil ikke være i stand til at gøre meget skade., Funktionen Folder Shield beskytter filer i dokumenter og billeder, i lokale mapper, der repræsenterer onlinelagring til filsynkroniseringstjenester og på USB-drev. Avast har tilføjet en meget lignende funktion til Avast Premium Security.

Trend Micros gratis, standalone RansomBuster beskytter kun to udvalgte mapper og deres undermapper. Intet uautoriseret program kan slette eller ændre filer i den beskyttede .one, selvom filoprettelse er tilladt. Derudover tilbyder virksomheden en ransom .are-hotline, der er tilgængelig for alle, selv ikke-kunder., På hotline side kan du finde værktøjer til at besejre nogle screen locker ransom .are og dekryptere nogle filer krypteret af Ransom .are.panda Dome Essential og Panda Dome Complete tilbyder en funktion kaldet Data Shield. Som standard beskytter Data Shield mappen Dokumenter (og dens undermapper) for hver userindo .s-brugerkonto. Det beskytter bestemte filtyper, herunder Microsoft Office-dokumenter, billeder, lydfiler og video. Om nødvendigt kan du tilføje flere mapper og filtyper., Og Panda beskytter mod al uautoriseret adgang, selv læse en beskyttet fil data, så det balks data-stjæle trojanske heste også.

test af denne form for forsvar er let nok. Vi skrev en meget simpel teksteditor, garanteret ikke at blive hvidlistet af Ransom .are beskyttelsessystem. Vi forsøgte at få adgang til og ændre beskyttede filer. Og i næsten alle tilfælde bekræftede vi, at forsvaret fungerede.

filgendannelse

den sikreste måde at overleve et ransom .are-angreb på er at opretholde en sikker, opdateret sikkerhedskopi af alle dine vigtige filer., Ud over bare sikkerhedskopiering af dine filer, Acronis True Image arbejder aktivt for at opdage og forhindre ransom .are-angreb. Vi forventer at se lignende funktioner i andre backup værktøjer.

CryptoDrop Anti-Ransomware bevaret kopier af dine følsomme filer i en sikker mappe, der ikke er synlige for alle andre processer. Desværre, mens CryptoDrop-websiteebstedet stadig eksisterer, er det blevet en mærkelig blanding af annoncer og resterende indhold uden spor af selve værktøjet.

Som nævnt, når Trend Micro registrerer en mistænkelig proces, der krypterer en fil, sikkerhedskopierer den filen., Hvis den ser en byge af mistænkelig kryptering aktivitet, det karantæne processen og gendanner de sikkerhedskopierede filer. Alsoonealarm sporer også mistænkelig aktivitet og reparerer eventuelle skader forårsaget af processer, der viser sig at være ransom .are.

NeuShield Data Sentinel tager en usædvanlig tilgang. I betragtning af, at ransom .are skal annoncere sin tilstedeværelse for at anmode om løsesum, det gør intet forsøg på at opdage ransom .are aktivitet. Det virtualiserer snarere filsystemændringer til beskyttede mapper og giver dig mulighed for at vende alle ændringer efter et angreb., For at slippe af med ransom .are selv, det ruller tilbage systemet til den foregående dags tilstand. I testen viste det sig at være effektivt, selvom du kunne miste en dags ændringer i dine filer.

Ransom .are Vaccination

Ransom .are gerningsmændene mister troværdighed, hvis de undlader at dekryptere filer for dem, der betaler løsesummen. Kryptering af det samme sæt dokumenter flere gange kan gøre det vanskeligt eller endda umuligt at udføre denne dekryptering. Derfor, de fleste ransom .are programmer omfatter en form for kontrol for at sikre, at de ikke angriber en allerede inficeret system., For eksempel, Petya ransom .are oprindeligt lige kontrolleret for tilstedeværelsen af en bestemt fil. Ved at oprette en falsk version af denne fil, kan du effektivt vaccinere din computer mod Petya.Bitdefender Anti-Ransom .are forhindrede under sin eksistens meget specifikt angreb af TeslaCrypt, BTC-Locker, Locky og den første udgave af Petya. Det havde ingen effekt på Sage, Cerber, senere versioner af Petya, eller enhver anden ransom .are familie. Og det kunne bestemt ikke hjælpe mod en helt ny stamme, som et adfærdsbaseret detektionssystem kan., Disse begrænsninger, sammen med den stadigt skiftende karakter af Mal .are, forårsaget Bitdefender at trække værktøjet, stole i stedet på den kraftfulde ransom .are beskyttelse af sin fuldskala antivirus.

Test Anti-Ransomware Værktøj

Den mest oplagte måde at teste ransomware beskyttelse er at frigøre den faktiske ransomware i en kontrolleret setting og observere, hvor godt produktet beskytter mod det. Dette er dog kun muligt, hvis produktet giver dig mulighed for at slukke for dets normale antivirus i realtid, mens ransom .are detection er aktiv., Selvfølgelig er testning enklere, når det pågældende produkt udelukkende er afsat til ransom .are-beskyttelse uden en generel antiviruskomponent.

derudover er ransom .are-prøver svære at håndtere. For sikkerheden kører vi dem i en virtuel maskine uden forbindelse til internettet eller netværket. Nogle kører slet ikke i en virtuel maskine. Andre gør intet uden en internetforbindelse. Og de er helt almindelige farlige! Når vi analyserer en ny prøve og bestemmer, om den skal føjes til samlingen, holder vi et link åbent for en logmappe på den virtuelle maskinhost., To gange nu har vi haft en ransom .are prøve nå ud og begynde at kryptere disse logfiler.

kno .be4 er specialiseret i træning af enkeltpersoner og ansatte for at undgå at blive ramt af phishing-angreb. Phishing er en måde at distribuere malware programmører ransomware, så udviklerne ved KnowBe4 skabt en ransomware simulator kaldet RanSim. RanSim simulerer 10 typer af Ransom .are angreb, sammen med to uskadelige (men lignende) adfærd. En god RanSim score er bestemt et plus, men vi behandler ikke en lav score som et minus., Nogle adfærdsbaserede systemer som RansomFree registrerer ikke simuleringen, fordi ingen faktisk ransom .are begrænser sine aktiviteter til undermapper fire niveauer under mappen Dokumenter.

Hvad er der ikke her

Denne artikel ser specifikt på ransom .are beskyttelse løsninger, der er tilgængelige for forbrugerne. Der er ingen mening i at inkludere de gratis, engangs dekrypteringsværktøjer, da det værktøj, du har brug for, helt afhænger af, hvilken ransom .are krypteret dine filer. Bedre at forhindre angrebet i første omgang.,CryptoPrevent Premium, der blev oprettet, da CryptoLocker var ny, lovede flere niveauer af adfærdsbaseret ransom .are-beskyttelse. På det øverste sikkerhedsniveau oversvømmede det skrivebordet med agnfiler, og selv på dette niveau gled flere prøver i den virkelige verden forbi dens opdagelse. Vi kan ikke anbefale dette værktøj i sin nuværende form.

Vi har også udeladt ransom .are-løsninger rettet mod big business, som typisk kræver central styring eller endda en dedikeret server., Bitdefender Gravity .one Elite og Sophos Intercept., for eksempel, er uden for rammerne af vores anmeldelser, værdig selvom disse tjenester kan være.

en Ounce af forebyggelse

at få dine filer tilbage efter et angreb er godt, men helt at forhindre, at angrebet er endnu bedre. Produkterne nedenfor tager forskellige tilgange til at holde dine filer sikre. Ransom .are beskyttelse er en udvikling felt; chancerne er gode, at som ransom .are udvikler sig, anti-ransom .are hjælpeprogrammer vil udvikle sig så godt. For nu, Antionealarm Anti-Ransom .are er vores top valg for ransom .are-specifik sikkerhedsbeskyttelse., Det opdaget alle vores ransom .are prøver, herunder disk-kryptering Petya og repareret alle filer beskadiget af Ransom .are. Hvis dit budget ikke strækker sig til at betale for en tilføjelse til ransom .are-beskyttelse, skal du overveje at skifte til en antivirus-eller sikkerhedssuite, der inkluderer et ransom .are-specifikt beskyttelseslag.