miért van szüksége Ransomware védelem

Malware jön sok íz. A trójaiak érvényes programokként álcázzák magukat, miközben titokban ellopják az adatokat. Botok igénybe a PC egy zombi hadsereg, ellen használható bármilyen cél a bot pásztor vágyak. A ransomware titkosítja az alapvető fájlokat, majd kemény készpénzt igényel a visszaállításhoz. Időről időre előfordulhat, hogy egy vadonatúj támadás elhalad a víruskeresőn, de általában néhány napon belül, vagy akár órákon belül megjelenik a probléma megoldására szolgáló frissítés.,

nem jó, ha egy vírus vagy trójai megfertőzi a számítógépet, néhány napig pusztítást okoz, majd víruskereső frissítéssel megszűnik, de túlélhető. Amikor ransomware van szó, bár, ez egy másik történet. A fájlok már titkosítva, így megszünteti az elkövető nem jó, sőt zavarja a képességét, hogy fizetni a váltságdíjat, ha úgy dönt, hogy erre. Egyes biztonsági termékek közé tartoznak a ransomware-re jellemző védelmi rétegek, valamint a ransomware-specifikus védelem is hozzáadható a meglévő biztonság segítőjeként.,

még rosszabb, ha vállalkozását ransomware támadja meg. Az üzlet jellegétől függően az elveszett termelékenység minden órája több ezer dollárba kerülhet, vagy még több. Szerencsére, míg a ransomware támadások egyre nőnek, ugyanúgy vannak technikák a támadások leküzdésére. Itt megnézzük azokat az eszközöket, amelyekkel megvédheti magát a ransomware-től.

mi a Ransomware, és hogyan kapod meg?

a ransomware előfeltétele egyszerű. A támadó megtalálja a módját, hogy elvigyen valamit a tiédből, és pénzt követel a visszatéréséért., Titkosítása zsarolóprogramok, a leggyakoribb típus, elveszi a hozzáférést a fontos dokumentumokat helyettük titkosított példányban. Fizesd ki a váltságdíjat, és megkapod a kulcsot a dokumentumok visszafejtéséhez (remélem). Van egy másik típusú ransomware, amely tagadja a számítógép vagy a mobil eszköz minden használatát. Azonban ez a képernyő locker ransomware könnyebb legyőzni, csak nem jelent ugyanolyan szintű veszélyt, mint titkosítása ransomware. Talán a legveszélyesebb példa a rosszindulatú programok, amelyek titkosítják az egész merevlemezt, így a számítógép használhatatlanná válik. Szerencsére ez az utolsó típus nem gyakori.,

ha ransomware támadás ér, először nem fogja tudni. Nem mutatja a szokásos jeleket, hogy rosszindulatú Programod van. Titkosítása ransomware működik a háttérben, amelynek célja, hogy befejezze a csúnya küldetése, mielőtt észre a jelenlétét. Miután befejezte a munkát, ez lesz az arcod, megjelenítő utasításokat, hogyan kell fizetni a váltságdíjat, majd kap a fájlokat vissza. Természetesen az elkövetők követhetetlen fizetést igényelnek; a Bitcoin népszerű választás. A ransomware arra is utasíthatja az áldozatokat, hogy vásároljanak ajándékkártyát vagy előre fizetett bankkártyát, és adják meg a kártya számát.,

ami a fertőzés megkötésének módját illeti, gyakran előfordul egy fertőzött PDF-vagy irodai dokumentumon keresztül, amelyet egy legitimnek tűnő e-mailben küldünk Önnek. Úgy tűnhet, hogy a vállalat domainjén belüli címről származik. Úgy tűnik, hogy ez történt a WannaCry ransomware támadással néhány évvel ezelőtt. Ha kétségei vannak az e-mail legitimitásával kapcsolatban, ne kattintson a linkre, hanem jelentse azt az informatikai részlegének.

természetesen a ransomware csak egy másik típusú rosszindulatú program, amelyet bármilyen rosszindulatú program-kézbesítési módszer hozhat neked., Például egy drive-by letöltés, amelyet egy rosszindulatú hirdetés üzemeltet egy egyébként biztonságos webhelyen. Ezt a csapást akár egy vékony USB-meghajtó behelyezésével is megkötheti a számítógépbe, bár ez kevésbé gyakori. Ha szerencséd van, a malware protection segédprogram azonnal elkapja. Ha nem, akkor bajban lehet.

CryptoLocker és egyéb titkosító Malware

amíg a hatalmas WannaCry támadás, CryptoLocker valószínűleg a legismertebb ransomware törzs. Néhány évvel ezelőtt felszínre került., A bűnüldöző és biztonsági szervek nemzetközi konzorciuma felszámolta a CryptoLocker mögött álló csoportot, de más csoportok életben tartották a nevet, saját rosszindulatú alkotásaikra alkalmazva.

A csökkenő mező

néhány évvel ezelőtt, lehet választani egy tucat vagy úgy önálló ransomware védelmi eszközök fogyasztóvédelmi vállalatok, és sok ilyen eszközök voltak szabad. Ezek többsége azóta eltűnt, valamilyen okból., Például az Acronis Ransomware Protection egy ingyenes önálló eszköz volt, de most csak összetevőként jelenik meg a vállalat biztonsági mentési szoftverében. Hasonlóképpen, a Malwarebytes Anti-Ransomware csak a teljes Malwarebytes prémium részeként létezik. Ami Heilig Defense RansomOff, a weboldal csak azt mondja: “RansomOff lesz vissza egy bizonyos ponton.”

néhány ransomware védelmi eszköz olyan vállalati biztonsági vállalatoktól származik, amelyek úgy döntöttek, hogy a világ számára szolgáltatást nyújtanak azáltal, hogy csak a ransomware komponensüket kínálják freebie-ként a fogyasztók számára., Ezek közül is jó néhány csökkent az út mentén, mivel a vállalatok úgy találják, hogy az ingyenes termék felemészti a támogatási erőforrásokat. Például a CyberSight RansomStopper már nincs velünk, a Cybereason RansomFree szintén megszűnt.

a Bitdefender Anti-Ransomware gyakorlati okból eltűnt. Bár létezett, szokatlan megközelítést alkalmazott. A ransomware támadó, amely kétszer titkosította ugyanazokat a fájlokat, kockáztatná, hogy elveszíti a dekódolás képességét, így sok ilyen program hagy valamilyen jelölőt, hogy elkerülje a kettős merülést., Bitdefender lenne emulálni a markerek sok jól ismert ransomware típusok, valójában azt mondja nekik, ” tovább! Már voltál itt!”Ez a megközelítés túlságosan korlátozottnak bizonyult ahhoz, hogy gyakorlati legyen. Úgy tűnik, hogy a CryptoDrop is eltűnt, bár weboldala továbbra is fennáll.

Ransomware Recovery

még akkor is, ha a ransomware elhalad a víruskeresőn, jó esély van arra, hogy rövid időn belül egy víruskereső frissítés törli a támadót a rendszeréből. A probléma természetesen az, hogy maga a ransomware eltávolítása nem kapja vissza a fájlokat., A helyreállítás egyetlen megbízható garanciája a fontos fájlok edzett felhőmentésének fenntartása.

ennek ellenére halvány esély van a helyreállításra, attól függően, hogy melyik ransomware törzs titkosította a fájlokat. Ha a víruskereső (vagy a váltságdíj megjegyzés) nevet ad, ez nagy segítség. Számos víruskereső gyártó, köztük a Kaspersky, a Trend Micro és az Avast, fenntartja az egyszeri dekódoló segédprogramok gyűjteményét. Bizonyos esetekben a segédprogramnak szüksége van egyetlen titkosított fájl titkosítatlan eredetijére, hogy helyrehozza a dolgokat. Más esetekben, például a TeslaCrypt, rendelkezésre áll egy master decryption kulcs.,

de valójában a legjobb védelem a ransomware ellen magában foglalja annak megakadályozását, hogy túszul ejtse a fájlokat. Számos különböző megközelítés létezik e cél eléréséhez.

Anti-Ransomware stratégiák

egy jól megtervezett víruskereső segédprogramnak meg kell szüntetnie a ransomware-t, de a ransomware tervezők trükkösek. Keményen dolgoznak, hogy megkerüljék mind a régi iskola aláírásalapú rosszindulatú programok észlelését, mind a rugalmasabb modern technikákat. Csak egy slipupot vesz igénybe a víruskereső, hogy egy új, ismeretlen ransomware támadás használhatatlanná tegye a fájlokat., Még akkor is, ha a víruskereső frissítést kap, amely eltávolítja a ransomware-t, nem tudja visszahozni a fájlokat.

a Modern víruskereső segédprogramok kiegészítik az aláírás – alapú észlelést valamilyen viselkedésfigyeléssel. Néhányan kizárólag a rosszindulatú viselkedés figyelésére támaszkodnak, nem pedig ismert fenyegetések keresésére. A viselkedésen alapuló detektálás, amely kifejezetten a titkosítással kapcsolatos ransomware viselkedésekre irányul, egyre gyakoribbá válik.

a Ransomware általában olyan közös helyeken tárolt fájlok után megy, mint az asztal vagy a Dokumentumok mappa., Egyes víruskereső eszközök és biztonsági Lakosztályok a zsarolóvírusok támadásait védik azáltal, hogy megtagadják az illetéktelen hozzáférést ezekhez a helyekhez. Jellemzően előjogosítják az ismert jó programokat, például a szövegszerkesztőket és a táblázatokat. Egy ismeretlen program bármely hozzáférési kísérleténél megkérdezik Önt, a felhasználót, hogy engedélyezi-e a hozzáférést. Ha ez az értesítés jön ki a kék, nem semmit tettél magad, blokkolja azt!

természetesen egy online biztonsági mentési segédprogram használata az alapvető fájlok naprakész biztonsági mentésének megőrzéséhez a legjobb védelem a ransomware ellen., Először is, akkor root ki a jogsértő malware, talán segítségével a víruskereső cég tech támogatás. Ezzel a feladattal befejeződött, egyszerűen visszaállítja a biztonsági mentési fájlokat. Vegye figyelembe, hogy néhány ransomware megpróbálja titkosítani a biztonsági mentéseket is. Különösen sérülékenyek lehetnek azok a biztonsági mentési rendszerek, amelyekben a biztonsági mentési fájlok megjelennek a virtuális lemezmeghajtón. Ellenőrizze a biztonsági mentési szolgáltatót, hogy megtudja, milyen védelmet nyújt a termék a ransomware ellen.,

Ransomware viselkedés észlelése

élettartama alatt a Cybereason ingyenes RansomFree segédprogramjának csak egy célja volt: a ransomware támadások észlelése és elkerülése. Ennek a segédprogramnak az egyik nagyon látható tulajdonsága a “csali” fájlok létrehozása volt olyan helyeken, amelyeket általában a ransomware céloz meg. Minden kísérlet, hogy módosítsa ezeket a fájlokat váltott ransomware takedown. A viselkedés alapú észlelés más formáira is támaszkodott, de alkotói természetesen vonakodtak sok részletet kínálni. Miért mondja el a rossz fiúknak, hogy milyen viselkedést kell elkerülni?, Sajnos, ennek az ingyenes terméknek a fogyasztók számára történő fenntartása a Vállalkozásközpontú vállalat számára nem volt praktikus.

a Kaspersky Security Cloud Ingyenes, valamint jó néhány, mások is használják a viselkedés alapú felismerés, hogy vegye le minden ransomware, hogy kerüli a rendszeres antivirus. Nem használják a “csali” fájlokat; inkább szoros figyelemmel kísérik, hogy a programok hogyan kezelik a tényleges dokumentumokat. A zsarolóprogramok észlelésekor karanténba helyezik a fenyegetést.

Check Point ZoneAlarm Anti-Ransomware is használ csali fájlokat, de ők nem olyan látható, mint RansomFree. és egyértelműen más védelmi rétegeket., Ez legyőzte az összes valós ransomware minták tesztelés, rögzítése az érintett fájlokat, sőt eltávolítja a hamis váltságdíjat megjegyzi, hogy egy minta jelenik meg.

Webroot SecureAnywhere AntiVirus támaszkodik viselkedési mintákat felismerni minden típusú malware, nem csak ransomware. Egyedül hagyja az ismert jó folyamatokat, és megszünteti az ismert rosszindulatú programokat. Ha EGY program egyik csoporthoz sem tartozik, a Webroot szorosan figyelemmel kíséri annak viselkedését. Elzárja az ismeretleneket attól, hogy internetkapcsolatot létesítsenek, és minden helyi akcióban részt vesz. Eközben a Webroot central-ban az ismeretlen program mély elemzésen megy keresztül., Ha kártékonynak bizonyul, a Webroot a naplózott adatokat használja a program minden műveletének visszavonására, beleértve a fájlok titkosítását is. A cég arra figyelmeztet, hogy a folyóirat adatbázisa nem korlátlan méretű,és azt tanácsolja, hogy az összes fontos fájlt mentse el. Egy közelmúltbeli teszt során a Webroot naplóvisszatérítési technikája teljesen hatékonynak bizonyult.

Ha az ingyenes Trend Micro RansomBuster gyanús folyamatot észlel a fájl titkosítása során, biztonsági másolatot készít a fájlról, és folyamatosan figyeli., Amikor olyan folyamatot észlel, amely gyors egymásutánban több titkosítási kísérletet tesz, karanténba helyezi a folyamatot, értesíti a felhasználót, majd visszaállítja a biztonsági mentést tartalmazó fájlokat. A tesztelés során ez a szolgáltatás elmulasztotta a valós zsarolóprogramok mintáinak felét. A Trend Micro megerősíti, hogy a ransomware védelem jobb a Trend Micro Antivirus+ Security többrétegű védelmével.

Az Acronis True Image fő célja természetesen a biztonsági mentés, de ez a termék Acronis Active Protection modulja figyeli a ransomware viselkedését., Fehérlistát használ, hogy elkerülje az érvényes eszközök, például a titkosítási szoftverek hamis megjelölését. Ezenkívül aktívan védi a fő Acronis folyamatot a módosításokkal szemben, valamint biztosítja, hogy más folyamat ne férhessen hozzá a biztonsági mentéshez. Ha a ransomware sikerül titkosítani néhány fájlt, mielőtt megszűnik, az Acronis visszaállíthatja őket a legújabb biztonsági mentésből.

jogosulatlan hozzáférés megakadályozása

Ha egy vadonatúj ransomware program túllépi a Trend Micro Antivirus+ Security programot, akkor nem lesz képes sok kárt okozni., A Folder Shield funkció védi a fájlokat a Dokumentumokban és képekben, a helyi mappákban, amelyek online tárolást jelentenek a fájl szinkronizálási szolgáltatásokhoz, valamint az USB meghajtókon. Az Avast nagyon hasonló funkciót adott hozzá az Avast Premium Security-hez.

Trend Micro szabad, önálló RansomBuster csak védi a két kiválasztott mappák, valamint azok almappák. Nem jogosulatlan program törölheti vagy módosíthatja a fájlokat a védett zónában, bár a fájl létrehozása megengedett. Ezenkívül a vállalat ransomware forródrótot kínál, amely bárki számára elérhető, még a nem ügyfelek számára is., A forródrót oldalon talál eszközöket, hogy legyőzze néhány screen locker ransomware dekódolni néhány fájlt titkosítja ransomware.

Panda Dome Essential and Panda Dome Complete offer a feature called Data Shield. Alapértelmezés szerint az Data Shield védi a Dokumentumok mappát (és annak almappáit) minden Windows felhasználói fiókhoz. Védi bizonyos fájltípusokat, beleértve a Microsoft Office dokumentumokat, képeket, hangfájlokat és videókat. Szükség esetén további mappákat és fájltípusokat is hozzáadhat., A Panda pedig védelmet nyújt minden jogosulatlan hozzáférés ellen, még egy védett fájl adatait is elolvasva, így az adatlopó trójaiakat is megbénítja.

Az ilyen típusú védelem tesztelése elég egyszerű. Írtunk egy nagyon egyszerű szövegszerkesztő, garantált, hogy nem engedélyezett a ransomware védelmi rendszer. Megpróbáltuk elérni és módosítani a védett fájlokat. Szinte minden esetben ellenőriztük, hogy a védelem működött.

File Recovery

a ransomware támadás túlélésének legbiztosabb módja az összes alapvető fájl biztonságos, naprakész biztonsági mentése., A fájlok biztonsági mentésén túl az Acronis True Image aktívan működik a ransomware támadás észlelése és megelőzése érdekében. Arra számítunk, hogy hasonló funkciókat láthatunk más biztonsági mentési eszközökben.

CryptoDrop Anti-Ransomware az érzékeny fájlok másolatait egy biztonságos mappában tartotta, amely más folyamatok számára nem látható. Sajnos, míg a CryptoDrop honlap még mindig létezik, vált egy furcsa keveréke hirdetések és maradék tartalom, nyom nélkül a segédprogram maga.

amint már említettük, amikor a Trend Micro gyanús folyamatot észlel egy fájl titkosításával, biztonsági másolatot készít a fájlról., Ha gyanús titkosítási tevékenységet lát, karanténba helyezi a folyamatot, és visszaállítja a biztonsági másolatot tartalmazó fájlokat. A ZoneAlarm nyomon követi a gyanús tevékenységeket, és kijavítja a ransomware-nek bizonyuló folyamatok által okozott károkat.

NeuShield Data Sentinel szokatlan megközelítést alkalmaz. Tekintettel arra, hogy a ransomware-nek be kell jelentenie jelenlétét a váltságdíj igényléséhez, nem tesz kísérletet a ransomware tevékenység észlelésére. Inkább virtualizálja a fájlrendszer változásait a védett mappákra, valamint lehetővé teszi az összes változás visszavonását támadás után., Annak érdekében, hogy megszabaduljon a ransomware-től, visszaállítja a rendszert az előző napi állapotba. A tesztelés során hatékonynak bizonyult, bár elveszítheti a fájlok egynapos változásait.

Ransomware vakcinázás

a Ransomware elkövetői elveszítik hitelességüket, ha nem sikerül visszafejteni a fájlokat azok számára, akik fizetik a váltságdíjat. Ugyanazon dokumentumkészlet többszöri titkosítása megnehezítheti vagy akár lehetetlenné teheti a dekódolást. Ezért a legtöbb ransomware program tartalmaz valamilyen ellenőrzést, hogy megbizonyosodjon arról, hogy nem támadnak meg egy már fertőzött rendszert., Például a Petya ransomware kezdetben csak egy bizonyos fájl jelenlétét ellenőrizte. A fájl hamis verziójának létrehozásával hatékonyan vakcinázhatja számítógépét a Petya ellen.

Bitdefender Anti-Ransomware, fennállása alatt, nagyon kifejezetten megakadályozta fertőzés TeslaCrypt, BTC-Locker, Locky, valamint az első kiadás Petya. Ez nem volt hatással a Sage, Cerber, későbbi változatai Petya, vagy bármely más ransomware család. És biztosan nem tudott segíteni egy teljesen új törzs ellen, ahogy egy viselkedésen alapuló detektáló rendszer képes., Ezek a korlátozások, valamint a rosszindulatú programok folyamatosan változó jellege miatt a Bitdefender visszavonta az eszközt, ehelyett a teljes körű víruskereső erőteljes ransomware védelmére támaszkodva.

Anti-Ransomware Tools tesztelése

a ransomware védelem tesztelésének legnyilvánvalóbb módja a tényleges ransomware ellenőrzött környezetben történő felszabadítása, valamint annak megfigyelése,hogy a termék mennyire védi azt. Ez azonban csak akkor lehetséges, ha a termék lehetővé teszi a normál valós idejű víruskereső kikapcsolását, miközben a ransomware detection aktív marad., Természetesen a tesztelés egyszerűbb, ha a szóban forgó terméket kizárólag a ransomware védelemre fordítják, általános célú víruskereső komponens nélkül.

ezenkívül a ransomware mintákat nehéz kezelni. A biztonság érdekében virtuális gépen futtatjuk őket, nincs kapcsolat az Internettel vagy a hálózattal. Néhányan egyáltalán nem fognak futni egy virtuális gépen. Mások nem tesznek semmit internetkapcsolat nélkül. És egyszerűen veszélyesek! Egy új minta elemzésekor, annak meghatározásakor, hogy hozzáadja-e a gyűjteményhez, egy linket nyitunk meg a virtuális gép gazdagépének naplómappájához., Most már kétszer kaptunk egy ransomware mintát, és elkezdtük titkosítani a naplókat.

a KnowBe4 az egyének és a munkavállalók képzésére specializálódott, hogy elkerüljék az adathalász támadások sújtotta területeket. Az adathalászat az egyik módja annak, hogy a rosszindulatú programok kódolói ransomware-t terjesszenek, így a KnowBe4 fejlesztői létrehoztak egy Ransomware szimulátort, a RanSim-ot. RanSim szimulálja 10 típusú ransomware támadás, valamint két ártalmatlan (de hasonló) viselkedés. Egy jó RanSim pontszám határozottan plusz, de nem kezeljük az alacsony pontszámot mínuszként., Egyes viselkedésen alapuló rendszerek, mint például a RansomFree, nem észlelik a szimulációt, mivel egyetlen tényleges ransomware sem korlátozza tevékenységét a Dokumentumok mappa alatti négy szintre.

mi nincs itt

Ez a cikk kifejezetten a fogyasztók számára elérhető ransomware védelmi megoldásokat vizsgálja. Nincs értelme az ingyenes, egyszeri dekódoló eszközöket is bevonni, mivel a szükséges eszköz teljesen attól függ, hogy melyik ransomware titkosította a fájlokat. Jobb, hogy megakadályozzák a támadást az első helyen.,

CryptoPrevent Premium, akkor jött létre, amikor CryptoLocker új volt, ígért több szintű viselkedés-alapú ransomware védelem. A legmagasabb biztonsági szinten azonban elárasztotta az asztalt csali fájlokkal, sőt még ezen a szinten is számos valós minta csúszott el a felismerés mellett. Nem tudjuk ajánlani ezt az eszközt a jelenlegi formájában.

elhagytuk a nagyvállalkozásokra irányuló ransomware megoldásokat is, amelyek általában központi kezelést vagy akár dedikált szervert igényelnek., Bitdefender GravityZone Elite és Sophos Intercept X, például, túl vannak a vélemények, méltó, bár ezek a szolgáltatások lehetnek.

egy uncia megelőzés

a fájlok visszaállítása a támadás után jó, de teljesen megakadályozza, hogy a támadás még jobb legyen. Az alább felsorolt termékek különböző megközelítéseket alkalmaznak a fájlok biztonságának megőrzésére. A Ransomware védelem egy fejlődő terület; jó esély van arra, hogy a ransomware fejlődésével az anti-ransomware segédprogramok is fejlődnek. Egyelőre a ZoneAlarm Anti-Ransomware a legjobb választás a ransomware-specifikus biztonsági védelemhez., Az összes ransomware mintát észlelte, beleértve a Petya-t titkosító lemezt, valamint javította a ransomware által sérült összes fájlt. Ha a költségvetése nem terjed ki a ransomware protection kiegészítő fizetésére, fontolja meg a váltást egy víruskereső vagy biztonsági csomagra, amely ransomware-specifikus védőréteget tartalmaz.