Perché avete bisogno di protezione ransomware

Il malware è disponibile in molti gusti. I trojan si mascherano da programmi validi mentre rubano segretamente i tuoi dati. Bots arruolare il PC in un esercito di zombie, da utilizzare contro qualsiasi obiettivo il bot-herder desideri. E ransomware crittografa i file essenziali, quindi richiede denaro contante per ripristinarli. Di tanto in tanto un nuovo attacco può superare il tuo antivirus, ma in genere un aggiornamento per risolvere il problema appare in pochi giorni o addirittura ore.,

Non è bello avere un virus o Trojan infestare il PC, devastare per un paio di giorni, e poi ottenere eliminato da un aggiornamento antivirus, ma è survivable. Quando ransomware è coinvolto, però, è una storia diversa. I file sono già crittografati, in modo da eliminare l’autore non fa nulla di buono, e può anche interferire con la vostra capacità di pagare il riscatto, se si sceglie di farlo. Alcuni prodotti di sicurezza includono livelli di protezione specifici per ransomware, ed è anche possibile aggiungere protezione specifica ransomware come aiuto per la sicurezza esistente.,

E ‘ ancora peggio quando il vostro business viene attaccato da ransomware. A seconda della natura del business, ogni ora di perdita di produttività potrebbe costare migliaia di dollari, o anche di più. Fortunatamente, mentre gli attacchi ransomware sono in aumento, lo sono anche le tecniche per combattere quegli attacchi. Qui guardiamo gli strumenti che è possibile utilizzare per proteggersi da ransomware.

Che cosa è ransomware, e come si fa a farlo?

La premessa di ransomware è semplice. L’attaccante trova un modo per prendere qualcosa di tuo e richiede il pagamento per il suo ritorno., Crittografia ransomware, il tipo più comune, toglie l’accesso ai documenti importanti sostituendoli con copie crittografate. Pagare il riscatto e si ottiene la chiave per decifrare quei documenti (si spera). C’è un altro tipo di ransomware che nega ogni uso del computer o dispositivo mobile. Tuttavia, questo ransomware screen locker è più facile da sconfiggere e non rappresenta lo stesso livello di minaccia della crittografia ransomware. Forse l’esempio più pernicioso è il malware che crittografa l’intero disco rigido, rendendo il computer inutilizzabile. Fortunatamente quest’ultimo tipo è raro.,

Se sei colpito da un attacco ransomware, non lo saprai in un primo momento. Non mostra i soliti segni che hai malware. Crittografia ransomware funziona in background, con l’obiettivo di completare la sua missione brutto prima di notare la sua presenza. Una volta finito con il lavoro, si ottiene in faccia, la visualizzazione di istruzioni su come pagare il riscatto e ottenere i file indietro. Naturalmente i perpetratori richiedono un pagamento non rintracciabile; Bitcoin è una scelta popolare. Il ransomware può anche istruire le vittime di acquistare una carta regalo o carta di debito prepagata e fornire il numero della carta.,

Per quanto riguarda il modo in cui si contrae questa infestazione, molto spesso accade attraverso un documento PDF o Office infetto inviato a voi in una e-mail che sembra legittimo. Può anche sembrare provenire da un indirizzo all’interno del dominio della vostra azienda. Che sembra essere quello che è successo con l’attacco ransomware WannaCry a pochi anni fa. Se hai il minimo dubbio sulla legittimità dell’e-mail, non fare clic sul link e segnalarlo al tuo reparto IT.

Naturalmente, ransomware è solo un altro tipo di malware, e qualsiasi metodo di malware-delivery potrebbe portare a voi., Un download drive-by ospitato da un annuncio dannoso su un sito altrimenti sicuro, per esempio. Si potrebbe anche contrarre questo flagello inserendo un drive USB gimmicked nel vostro PC, anche se questo è meno comune. Se sei fortunato, la tua utility di protezione malware lo catturerà immediatamente. Altrimenti, potresti essere nei guai.

CryptoLocker e altri malware di crittografia

Fino al massiccio attacco WannaCry, CryptoLocker era probabilmente il ceppo ransomware più noto. È emerso diversi anni fa., Un consorzio internazionale di forze dell’ordine e agenzie di sicurezza ha abbattuto il gruppo dietro CryptoLocker, ma altri gruppi hanno mantenuto vivo il nome, applicandolo alle proprie creazioni maligne.

Un campo in diminuzione

Diversi anni fa, si poteva scegliere tra una dozzina di strumenti di protezione ransomware standalone da società di sicurezza dei consumatori, e molti di questi strumenti erano gratuiti. La maggior parte di questi sono scomparsi da allora, per un motivo o per un altro., Ad esempio, Acronis Ransomware Protection era uno strumento autonomo gratuito, ma ora appare solo come componente nel software di backup dell’azienda. Allo stesso modo, Malwarebytes Anti-Ransomware ora esiste solo come parte della piena Malwarebytes Premium. Per quanto riguarda Heilig Difesa RansomOff, la sua pagina web dice solo “RansomOff tornerà ad un certo punto.”

Alcuni strumenti di protezione ransomware provengono da società di sicurezza aziendale che hanno deciso di fare al mondo un servizio offrendo solo la loro componente ransomware come omaggio per i consumatori., E alcuni di questi sono anche caduti nel dimenticatoio, poiché le aziende scoprono che il prodotto gratuito consuma risorse di supporto. Ad esempio, CyberSight RansomStopper non è più con noi, e Cybereason RansomFree è stato allo stesso modo interrotto.

Bitdefender Anti-Ransomware è andato per un motivo più pratico. Mentre esisteva, ha preso un approccio insolito. Un utente malintenzionato ransomware che crittografato gli stessi file due volte rischierebbe di perdere la capacità di decifrare loro, così molti tali programmi lasciano una sorta di marcatore per evitare il doppio tuffo., Bitdefender emulerebbe i marcatori per molti tipi di ransomware ben noti, in effetti dicendo loro: “Vai avanti! Sei già stato qui!”Questo approccio si è rivelato troppo limitato per essere pratico. Anche CryptoDrop sembra essere scomparso, anche se il suo sito Web rimane.

Ransomware Recupero

Anche se ransomware ottiene passato il vostro antivirus, ci sono buone probabilità che entro breve tempo un aggiornamento antivirus sarà cancellare l’attaccante dal sistema. Il problema è, naturalmente, che la rimozione del ransomware in sé non ottiene i file indietro., L’unica garanzia affidabile di recupero è il mantenimento di un backup cloud indurito dei file importanti.

Anche così, c’è una debole possibilità di recupero, a seconda di quale ceppo ransomware crittografato i file. Se il tuo antivirus (o la richiesta di riscatto) ti dà un nome, questo è di grande aiuto. Molti fornitori di antivirus, tra cui Kaspersky, Trend Micro e Avast, mantengono una raccolta di utilità di decrittografia una tantum. In alcuni casi, l’utilità ha bisogno l’originale non crittografato di un singolo file crittografato per mettere le cose a posto. In altri casi, come TeslaCrypt, è disponibile una chiave di decrittografia master.,

Ma in realtà, la migliore difesa contro ransomware comporta tenerlo da prendere in ostaggio i file. Ci sono una serie di approcci diversi per raggiungere questo obiettivo.

Strategie anti-ransomware

Un programma di utilità antivirus ben progettato dovrebbe eliminare ransomware a vista, ma i progettisti ransomware sono difficili. Lavorano duramente per aggirare sia il rilevamento di malware basato sulla firma della vecchia scuola che tecniche moderne più flessibili. Ci vuole solo una slipup dal vostro antivirus per lasciare che un nuovo, sconosciuto attacco ransomware rendere i file inutilizzabili., Anche se l’antivirus ottiene un aggiornamento che rimuove il ransomware, non può riportare i file.

Le moderne utility antivirus integrano il rilevamento basato sulle firme con una qualche forma di monitoraggio del comportamento. Alcuni si affidano esclusivamente alla ricerca di comportamenti dannosi piuttosto che alla ricerca di minacce note. E il rilevamento basato sul comportamento specificamente finalizzato ai comportamenti ransomware correlati alla crittografia sta diventando sempre più comune.

Ransomware va in genere dopo i file memorizzati in luoghi comuni come il desktop e la cartella Documenti., Alcuni strumenti antivirus e suite di sicurezza sventano gli attacchi ransomware negando l’accesso non autorizzato a queste posizioni. In genere, essi pre-autorizzare noti buoni programmi come word processor e fogli di calcolo. In qualsiasi tentativo di accesso da parte di un programma sconosciuto, chiedono a te, all’utente, se consentire l’accesso. Se quella notifica viene fuori di punto in bianco, non da nulla che hai fatto da soli, bloccarlo!

Naturalmente, utilizzando un programma di utilità di backup online per mantenere un backup up-to-date dei file essenziali è la migliore difesa contro ransomware., In primo luogo, si sradicare il malware incriminato, forse con l’aiuto del supporto tecnico della vostra azienda antivirus. Con tale compito completo, è sufficiente ripristinare i file di backup. Si noti che alcuni ransomware tenta di crittografare i backup pure. I sistemi di backup in cui i file di backup vengono visualizzati in un’unità disco virtuale possono essere particolarmente vulnerabili. Verificare con il provider di backup per scoprire quali difese il prodotto ha contro ransomware.,

Rilevamento del comportamento ransomware

Durante la sua durata, l’utilità gratuita RansomFree di Cybereason aveva un solo scopo: rilevare e scongiurare gli attacchi ransomware. Una caratteristica molto visibile di questa utility è stata la sua creazione di file “esca” in luoghi tipicamente presi di mira da ransomware. Qualsiasi tentativo di modificare questi file innescato un takedown ransomware. Si basava anche su altre forme di rilevamento basato sul comportamento, ma i suoi creatori erano naturalmente riluttanti a offrire molti dettagli. Perché dire ai cattivi quali comportamenti evitare?, Ahimè, mantenere questo prodotto gratuito per i consumatori si è rivelato poco pratico per l’azienda focalizzata sull’impresa.

Kaspersky Security Cloud Free e molti altri utilizzano anche il rilevamento basato sul comportamento per eliminare qualsiasi ransomware che superi il tuo normale antivirus. Non usano file “esca”; piuttosto tengono d’occhio come i programmi trattano i tuoi documenti reali. Al rilevamento ransomware, mettono in quarantena la minaccia.

Check Point ZoneAlarm Anti-Ransomware utilizza anche i file esca, ma non sono visibili come RansomFree. E utilizza chiaramente altri livelli di protezione., Ha sconfitto tutti i nostri campioni ransomware del mondo reale nei test, fissando i file interessati e persino rimuovendo le note di riscatto spurie visualizzate da un campione.

Webroot SecureAnywhere AntiVirus si basa su modelli di comportamento per rilevare tutti i tipi di malware, non solo ransomware. Lascia noti buoni processi da solo ed elimina il malware noto. Quando un programma appartiene a nessuno dei due gruppi, Webroot monitora da vicino il suo comportamento. Blocca le incognite dall’effettuare connessioni Internet e registra ogni azione locale. Nel frattempo, a Webroot central, il programma sconosciuto passa attraverso un’analisi approfondita., Se si rivela dannoso, Webroot utilizza i dati journaled per annullare ogni azione da parte del programma, tra cui la crittografia dei file. La società avverte che il database del journal non ha dimensioni illimitate e consiglia di mantenere il backup di tutti i file importanti. In un recente test, la tecnica di journal-and-rollback di Webroot si è dimostrata totalmente efficace.

Se Trend Micro RansomBuster rileva un processo sospetto che tenta la crittografia dei file, esegue il backup del file e continua a guardare., Quando rileva un processo che effettua più tentativi di crittografia in rapida successione, mette in quarantena il processo, avvisa l’utente e ripristina i file di backup. Durante i test, questa funzione ha mancato la metà dei campioni ransomware del mondo reale che abbiamo inflitto su di esso. Trend Micro conferma che la protezione ransomware è migliore con la protezione multistrato di Trend Micro Antivirus + Security.

Lo scopo principale di Acronis True Image è il backup, ovviamente, ma il modulo Acronis Active Protection di questo prodotto controlla e previene il comportamento del ransomware., Utilizza la whitelist per evitare di segnalare falsamente strumenti validi come il software di crittografia. Inoltre, protegge attivamente il processo Acronis principale dalle modifiche e garantisce che nessun altro processo possa accedere ai file di backup. Se il ransomware riesce a crittografare alcuni file prima di essere eliminato, Acronis può ripristinarli dall’ultimo backup.

Impedire l’accesso non autorizzato

Se un nuovo programma ransomware supera Trend Micro Antivirus+ Security, non sarà in grado di fare molti danni., La funzione Folder Shield protegge i file nei documenti e nelle immagini, nelle cartelle locali che rappresentano l’archiviazione online per i servizi di sincronizzazione dei file e sulle unità USB. Avast ha aggiunto una funzionalità molto simile a Avast Premium Security.

RansomBuster gratuito e standalone di Trend Micro protegge solo due cartelle selezionate e le loro sottocartelle. Nessun programma non autorizzato può eliminare o modificare i file nella zona protetta, anche se la creazione di file è consentita. Inoltre, l’azienda offre una hotline ransomware che è disponibile per chiunque, anche non clienti., Nella pagina hotline è possibile trovare gli strumenti per sconfiggere alcuni screen locker ransomware e decifrare alcuni file crittografati da ransomware.

Panda Dome Essential e Panda Dome Complete offrono una funzionalità chiamata Data Shield. Per impostazione predefinita, Data Shield protegge la cartella Documenti (e le relative sottocartelle) per ogni account utente di Windows. Protegge tipi di file specifici, tra cui documenti di Microsoft Office, immagini, file audio e video. Se necessario, è possibile aggiungere più cartelle e tipi di file., E Panda protegge da tutti gli accessi non autorizzati, anche la lettura dei dati di un file protetto, quindi esita i trojan che rubano dati.

Testare questo tipo di difesa è abbastanza facile. Abbiamo scritto un editor di testo molto semplice, garantito per non essere whitelist dal sistema di protezione ransomware. Abbiamo tentato di accedere e modificare i file protetti. E in quasi tutti i casi abbiamo verificato che la difesa ha funzionato.

Recupero file

Il modo più sicuro per sopravvivere a un attacco ransomware è quello di mantenere un backup sicuro e aggiornato di tutti i file essenziali., Oltre al semplice backup dei file, Acronis True Image lavora attivamente per rilevare e prevenire gli attacchi ransomware. Ci aspettiamo di vedere caratteristiche simili in altri strumenti di backup.

CryptoDrop Anti-Ransomware mantenuto copie dei file sensibili in una cartella sicura che non è visibile ad altri processi. Ahimè, mentre il sito web CryptoDrop esiste ancora, è diventato uno strano mix di annunci e contenuti rimasti, senza alcuna traccia dell’utilità stessa.

Come notato, quando Trend Micro rileva un processo sospetto che crittografa un file, esegue il backup del file., Se vede una raffica di attività di crittografia sospette, mette in quarantena il processo e ripristina i file di backup. ZoneAlarm tiene traccia anche attività sospette e ripara eventuali danni causati da processi che si rivelano essere ransomware.

NeuShield Data Sentinel adotta un approccio insolito. Dato che ransomware deve annunciare la sua presenza per richiedere il riscatto, non fa alcun tentativo di rilevare l’attività ransomware. Piuttosto, virtualizza le modifiche del file system in cartelle protette e consente di invertire tutte le modifiche dopo un attacco., Per sbarazzarsi del ransomware stesso, riporta il sistema allo stato del giorno precedente. Durante i test, si è dimostrato efficace, anche se si potrebbe perdere le modifiche di un giorno ai file.

Ransomware Vaccinazione

Autori ransomware perdono credibilità se non riescono a decifrare i file per coloro che pagano il riscatto. La crittografia dello stesso insieme di documenti più volte potrebbe rendere difficile o addirittura impossibile eseguire tale decrittografia. Quindi, la maggior parte dei programmi ransomware includono un qualche tipo di controllo per assicurarsi che non attaccano un sistema già infetto., Ad esempio, il ransomware Petya inizialmente appena controllato per la presenza di un determinato file. Creando una versione falsa di quel file, potresti vaccinare efficacemente il tuo computer contro Petya.

Bitdefender Anti-Ransomware, durante la sua esistenza, ha impedito in modo specifico l’infestazione da TeslaCrypt, BTC-Locker, Locky e quella prima edizione di Petya. Non ha avuto alcun effetto su Sage, Cerber, versioni successive di Petya, o qualsiasi altra famiglia ransomware. E certamente non potrebbe aiutare contro un ceppo nuovo di zecca,il modo in cui un sistema di rilevamento basato sul comportamento può., Queste limitazioni, insieme con la natura in continua evoluzione del malware, causato Bitdefender a ritirare lo strumento, basandosi invece sulla potente protezione ransomware del suo antivirus su larga scala.

Testing Anti-Ransomware Tools

Il modo più ovvio per testare la protezione ransomware è quello di rilasciare ransomware reale in un ambiente controllato e osservare quanto bene il prodotto difende contro di essa. Tuttavia, questo è possibile solo se il prodotto consente di disattivare il suo normale antivirus in tempo reale, lasciando il rilevamento ransomware attivo., Naturalmente, il test è più semplice quando il prodotto in questione è dedicato esclusivamente alla protezione ransomware, senza un componente antivirus generico.

Inoltre, i campioni ransomware sono difficili da affrontare. Per sicurezza, li eseguiamo in una macchina virtuale senza connessione a Internet o alla rete. Alcuni non verranno eseguiti affatto in una macchina virtuale. Altri non fanno nulla senza una connessione Internet. E sono semplicemente pericolosi! Quando analizziamo un nuovo campione, determinando se aggiungerlo alla raccolta, manteniamo un collegamento aperto a una cartella di registro sull’host della macchina virtuale., Due volte ora abbiamo avuto un campione ransomware raggiungere e iniziare la crittografia di tali registri.

KnowBe4 è specializzata nella formazione di individui e dipendenti per evitare di essere colpiti da attacchi di phishing. Il phishing è un modo in cui i programmatori di malware distribuiscono ransomware, quindi gli sviluppatori di KnowBe4 hanno creato un simulatore ransomware chiamato RanSim. RanSim simula 10 tipi di attacco ransomware, insieme a due comportamenti innocui (ma simili). Un buon punteggio RanSim è sicuramente un vantaggio, ma non trattiamo un punteggio basso come un segno meno., Alcuni sistemi basati sul comportamento come RansomFree non rilevano la simulazione, perché nessun ransomware reale limita le sue attività alle sottocartelle quattro livelli sotto la cartella Documenti.

Cosa non c’è

Questo articolo esamina specificamente le soluzioni di protezione ransomware disponibili per i consumatori. Non ha senso includere gli strumenti di decrittografia gratuiti, una tantum, poiché lo strumento di cui hai bisogno dipende totalmente da quale ransomware ha crittografato i tuoi file. Meglio prevenire l’attacco in primo luogo.,

CryptoPrevent Premium, creato quando CryptoLocker era nuovo, prometteva diversi livelli di protezione ransomware basata sul comportamento. Tuttavia, al massimo livello di sicurezza, ha inondato il desktop con i file esca, e anche a questo livello, diversi campioni del mondo reale sono scivolati oltre il suo rilevamento. Non possiamo raccomandare questo strumento nella sua forma attuale.

Abbiamo anche omesso soluzioni ransomware rivolte alle grandi imprese, che in genere richiedono una gestione centrale o anche un server dedicato., Bitdefender GravityZone Elite e Sophos Intercept X, ad esempio, sono oltre lo scopo delle nostre recensioni, anche se questi servizi possono essere degni.

Un’oncia di prevenzione

Recuperare i file dopo un attacco è buono, ma prevenire completamente quell’attacco è ancora meglio. I prodotti elencati di seguito adottano approcci diversi per mantenere i file al sicuro. Protezione ransomware è un campo in evoluzione; ci sono buone probabilità che come ransomware si evolve, utilità anti-ransomware si evolveranno pure. Per ora, ZoneAlarm Anti-Ransomware è la nostra scelta migliore per la protezione di sicurezza specifica ransomware., Ha rilevato tutti i nostri campioni ransomware, tra cui la crittografia del disco Petya e riparato tutti i file danneggiati dal ransomware. Se il tuo budget non è sufficiente per pagare un componente aggiuntivo di protezione ransomware, considera di passare a un antivirus o una suite di sicurezza che includa un livello di protezione specifico per ransomware.