pourquoi vous avez besoin D’une Protection contre les ransomwares

Les logiciels malveillants se déclinent en plusieurs versions. Les chevaux de Troie se font passer pour des programmes valides tout en volant secrètement vos données. Bots enrôlez votre PC dans une armée de zombies, à utiliser contre n’importe quelle cible le bot-herder désire. Et ransomware crypte vos fichiers essentiels, puis exige de l’argent pour les restaurer. De temps en temps, une toute nouvelle attaque peut dépasser votre antivirus, mais généralement une mise à jour pour résoudre le problème apparaît dans quelques jours, voire quelques heures.,

Ce n’est pas génial d’avoir un virus ou un cheval de Troie infester votre PC, faire des ravages pendant quelques jours, puis être éliminé par une mise à jour antivirus, mais il est survivable. Lorsque ransomware est impliqué, cependant, c’est une autre histoire. Vos fichiers sont déjà cryptés, donc éliminer l’auteur Ne vous sert à rien, et peut même interférer avec votre capacité à payer la rançon, si vous choisissez de le faire. Certains produits de sécurité incluent des couches de protection spécifiques aux ransomwares, et vous pouvez également ajouter une protection spécifique aux ransomwares en tant qu’aide pour votre sécurité existante.,

c’est encore pire lorsque votre entreprise est attaquée par un ransomware. Selon la nature de l’entreprise, chaque heure de perte de productivité peut coûter des milliers de dollars, voire plus. Heureusement, alors que les attaques de ransomware sont à la hausse, il en va de même pour les techniques de lutte contre ces attaques. Nous examinons ici les outils que vous pouvez utiliser pour vous protéger contre les ransomwares.

Qu’est-ce Qu’un Ransomware, et comment L’obtenir?

la prémisse du ransomware est simple. L’attaquant trouve un moyen de prendre quelque chose de la vôtre, et exige le paiement pour son retour., Le chiffrement des ransomwares, le type le plus courant, supprime l’accès à vos documents importants en les remplaçant par des copies cryptées. Payez la rançon et vous obtenez la clé pour décrypter ces documents (vous l’espérez). Il existe un autre type de ransomware qui refuse toute utilisation de votre ordinateur ou appareil mobile. Cependant, ce ransomware screen locker est plus facile à vaincre et ne pose tout simplement pas le même niveau de menace que le cryptage des ransomwares. L’exemple le plus pernicieux est peut-être un logiciel malveillant qui crypte tout votre disque dur, rendant l’ordinateur inutilisable. Heureusement, ce dernier type est rare.,

Si vous êtes touché par une attaque de ransomware, vous ne le saurez pas au début. Il ne montre pas les signes habituels que vous avez des logiciels malveillants. Chiffrer ransomware fonctionne en arrière-plan, visant à compléter sa mission désagréable avant de remarquer sa présence. Une fois terminé avec le travail, il obtient dans votre visage, affichant des instructions sur la façon de payer la rançon et récupérer vos fichiers. Naturellement, les auteurs exigent un paiement introuvable; Bitcoin est un choix populaire. Le ransomware peut également demander aux victimes d’acheter une carte-cadeau ou une carte de débit prépayée et de fournir le numéro de carte.,

en ce qui concerne la façon dont vous contractez cette infestation, cela se produit assez souvent via un document PDF ou Office infecté qui vous est envoyé dans un e-mail qui semble légitime. Il peut même sembler provenir d’une adresse de domaine de votre entreprise. Cela semble être ce qui s’est passé avec L’attaque WannaCry ransomware il y a quelques années. Si vous avez le moindre doute sur la légitimité de l’e-mail, ne cliquez pas sur le lien et signalez-le à votre service informatique.

bien sûr, ransomware est juste un autre type de malware, et toute méthode de livraison de malware pourrait vous l’apporter., Un téléchargement par lecteur hébergé par une publicité malveillante sur un site autrement sûr, par exemple. Vous pouvez même contracter ce fléau en insérant une clé USB gimmicked dans votre PC, bien que cela soit moins commun. Si vous êtes chanceux, votre utilitaire de protection contre les logiciels malveillants l’attrapera immédiatement. Si non, vous pourriez être en difficulté.

CryptoLocker et autres logiciels malveillants de chiffrement

Jusqu’à L’attaque massive WannaCry, CryptoLocker était probablement la souche de ransomware la plus connue. Il a fait surface il y a plusieurs années., Un consortium international d’organismes d’application de la loi et de sécurité a démantelé le groupe derrière CryptoLocker, mais d’autres groupes ont gardé le nom en vie, l’appliquant à leurs propres créations malveillantes.

un champ en déclin

Il y a plusieurs années, vous pouviez choisir parmi une douzaine d’outils de protection ransomware autonomes de sociétés de sécurité grand public, et beaucoup de ces outils étaient gratuits. La plupart d’entre eux ont depuis disparu, pour une raison ou une autre., Par exemple, Acronis Ransomware Protection était un outil autonome gratuit, mais il n’apparaît désormais qu’en tant que composant dans le logiciel de sauvegarde de l’entreprise. De même, Malwarebytes Anti-Ransomware n’existe désormais que dans le cadre de la version complète de Malwarebytes Premium. Quant à Heilig Defense RansomOff, sa page Web dit simplement « RansomOff sera de retour à un moment donné. »

quelques outils de protection contre les ransomwares proviennent de sociétés de sécurité d’entreprise qui ont décidé de faire du monde un service en offrant uniquement leur composant ransomware comme un billet de Faveur pour les consommateurs., Et bon nombre d’entre eux sont également tombés au bord du chemin, car les entreprises constatent que le produit gratuit consomme des ressources de support. Par exemple, CyberSight RansomStopper n’est plus avec nous, et Cybereason RansomFree a également été interrompu.

Bitdefender Anti-Ransomware a disparu pour une raison plus pratique. Bien qu’il ait existé, il a adopté une approche inhabituelle. Un attaquant ransomware qui a crypté les mêmes fichiers deux fois risquerait de perdre la capacité de les décrypter, tant de ces programmes laissent une sorte de marqueur pour éviter le double trempage., Bitdefender émulerait les marqueurs pour de nombreux types de ransomwares bien connus, en leur disant en effet: « passez à autre chose! Vous avez déjà été ici! »Cette approche s’est avérée trop limitée pour être pratique. CryptoDrop, aussi, semble avoir disparu, bien que son site web reste.

Ransomware Recovery

même si ransomware obtient passé votre antivirus, les chances sont bonnes que dans un court laps de temps une mise à jour antivirus va effacer l’attaquant de votre système. Le problème est, bien sûr, que la suppression du ransomware lui-même ne récupère pas vos fichiers., La seule garantie fiable de récupération est de maintenir une sauvegarde cloud renforcée de vos fichiers importants.

malgré tout, il y a une faible chance de récupération, en fonction de la souche de ransomware qui a crypté vos fichiers. Si votre antivirus (ou la demande de rançon) vous donne un nom, c’est d’une grande aide. De nombreux fournisseurs d’antivirus, parmi lesquels Kaspersky, Trend Micro et Avast, gèrent une collection d’utilitaires de décryptage uniques. Dans certains cas, l’utilitaire a besoin de l’original non chiffré d’un seul fichier crypté pour mettre les choses correctement. Dans d’autres cas, tels que TeslaCrypt, une clé de déchiffrement principale est disponible.,

mais vraiment, la meilleure défense contre les ransomwares consiste à l’empêcher de prendre vos fichiers en otage. Il existe un certain nombre d’approches différentes pour atteindre cet objectif.

stratégies Anti-Ransomware

Un utilitaire antivirus bien conçu devrait éliminer les ransomwares à vue, mais les concepteurs de ransomwares sont difficiles. Ils travaillent dur pour contourner à la fois la détection de logiciels malveillants basée sur la signature de la vieille école et des techniques modernes plus flexibles. Il suffit d’une erreur de votre antivirus pour qu’une nouvelle attaque de ransomware inconnue rende vos fichiers inutilisables., Même si l’antivirus obtient une mise à jour qui supprime le ransomware, il ne peut pas ramener les fichiers.

les utilitaires antivirus modernes complètent la détection basée sur les signatures avec une certaine forme de surveillance du comportement. Certains comptent exclusivement sur la surveillance des comportements malveillants plutôt que de rechercher des menaces connues. Et la détection basée sur le comportement visant spécifiquement les comportements de ransomware liés au cryptage devient de plus en plus courante.

Ransomware va généralement après les fichiers stockés dans des endroits communs comme le bureau et le dossier Documents., Certains outils antivirus et suites de sécurité déjouent les attaques de ransomware en refusant l’accès non autorisé à ces emplacements. En règle générale, ils préautorisent de bons programmes connus tels que les traitements de texte et les feuilles de calcul. Lors de toute tentative d’accès par un programme inconnu, ils vous demandent, à vous, l’utilisateur, s’il faut autoriser l’accès. Si cette notification sort du bleu, pas de tout ce que vous avez fait vous-même, bloquez-le!

bien sûr, l’utilisation d’un utilitaire de sauvegarde en ligne pour conserver une sauvegarde à jour de vos fichiers essentiels est la meilleure défense contre les ransomwares., Tout d’abord, vous éliminez les logiciels malveillants incriminés, peut-être avec l’aide du support technique de votre entreprise antivirus. Une fois cette tâche terminée, vous restaurez simplement vos fichiers sauvegardés. Notez que certains ransomwares tentent également de chiffrer vos sauvegardes. Les systèmes de sauvegarde dans lequel vos fichiers sauvegardés apparaissent dans un disque virtuel peut être particulièrement vulnérables. Vérifiez auprès de votre fournisseur de sauvegarde pour savoir quelles défenses le produit a contre ransomware.,

détecter le comportement des ransomwares

Au cours de sa durée de vie, L’utilitaire gratuit RansomFree de Cybereason n’avait qu’un seul but: détecter et éviter les attaques de ransomwares. Une caractéristique très visible de cet utilitaire était sa création de fichiers » appâts  » dans des endroits généralement ciblés par ransomware. Toute tentative de modifier ces fichiers a déclenché un retrait de ransomware. Il s’appuyait également sur d’autres formes de détection basée sur le comportement, mais ses créateurs étaient naturellement réticents à offrir beaucoup de détails. Pourquoi dire aux méchants quels comportements éviter?, Hélas, le maintien de ce produit gratuit pour les consommateurs s’est avéré peu pratique pour l’entreprise axée sur L’entreprise.

Kaspersky Security Cloud Free et quelques autres utilisent également la détection basée sur le comportement pour supprimer tout ransomware qui dépasse votre antivirus habituel. Ils n’utilisent pas de fichiers « appâts »; ils gardent plutôt un œil attentif sur la façon dont les programmes traitent vos documents réels. Lors de la détection des ransomwares, ils mettent la menace en quarantaine.

Check Point ZoneAlarm Anti-Ransomware utilise également des fichiers d’appâts, mais ils ne sont pas aussi visibles que ceux de RansomFree. et il utilise clairement d’autres couches de protection., Il a vaincu tous nos échantillons de ransomware du monde réel lors des tests, en corrigeant tous les fichiers affectés et même en supprimant les fausses notes de rançon affichées par un échantillon.

Webroot SecureAnywhere AntiVirus s’appuie sur des modèles de comportement pour détecter tous les types de logiciels malveillants, pas seulement les ransomwares. Il laisse les bons processus connus seuls et élimine les logiciels malveillants connus. Lorsqu’un programme n’appartient à aucun des deux groupes, Webroot surveille de près son comportement. Il empêche les inconnus d’établir des connexions internet, et il journalise chaque action locale. Pendant ce temps, chez Webroot central, le programme inconnu passe par une analyse approfondie., S’il s’avère être malveillant, Webroot utilise les données journalisées pour annuler chaque action du programme, y compris le cryptage des fichiers. La société avertit que la base de données du journal n’est pas illimitée en taille et conseille de conserver tous les fichiers importants sauvegardés. Dans un test récent, la technique de journal-and-rollback de Webroot s’est avérée totalement efficace.

Si le RansomBuster Trend Micro gratuit détecte un processus suspect qui tente de chiffrer un fichier, il sauvegarde le fichier et continue de le surveiller., Lorsqu’il détecte un processus effectuant plusieurs tentatives de chiffrement en succession rapide, il met le processus en quarantaine, avertit l’utilisateur et restaure les fichiers sauvegardés. Lors des tests, cette fonctionnalité a manqué la moitié des échantillons de ransomware réels que nous lui avons infligés. Trend Micro confirme que la protection contre les ransomwares est meilleure avec la protection multicouche de Trend Micro Antivirus + Security.

L’objectif principal D’Acronis True Image est bien sûr la sauvegarde, mais le module Acronis Active Protection de ce produit surveille et empêche le comportement des ransomwares., Il utilise la liste blanche pour éviter de signaler faussement des outils valides tels que les logiciels de cryptage. Il protège également activement le processus Acronis principal contre les modifications et garantit qu’aucun autre processus ne peut accéder aux fichiers sauvegardés. Si le ransomware parvient à chiffrer certains fichiers avant d’être éliminé, Acronis peut les restaurer à partir de la dernière sauvegarde.

prévention des accès non autorisés

Si un tout nouveau programme de ransomware passe Trend Micro Antivirus+ Security, il ne pourra pas faire beaucoup de dégâts., La fonction de protection des dossiers protège les fichiers dans les Documents et les images, dans les dossiers locaux qui représentent le stockage en ligne pour les services de synchronisation de fichiers et sur les clés USB. Avast a ajouté une fonctionnalité très similaire à Avast Premium Security.

Le RansomBuster gratuit et autonome de Trend Micro protège uniquement deux dossiers sélectionnés et leurs sous-dossiers. Aucun programme non autorisé ne peut supprimer ou modifier des fichiers dans la zone protégée, bien que la création de fichiers soit autorisée. En outre, la société propose une hotline ransomware qui est disponible pour tout le monde, même les non-clients., Sur la page hotline, vous pouvez trouver des outils pour vaincre certains ransomware screen locker et décrypter certains fichiers cryptés par ransomware.

Panda Dome Essential et Panda Dome Complete offrent une fonctionnalité appelée Data Shield. Par défaut, Data Shield protège le dossier Documents (et ses sous-dossiers) pour chaque compte utilisateur Windows. Il protège des types de fichiers spécifiques, y compris les documents Microsoft Office, les images, les fichiers audio et les vidéos. Si nécessaire, vous pouvez ajouter d’autres dossiers et types de fichiers., Et Panda protège contre tout accès non autorisé, même en lisant les données d’un fichier protégé, de sorte qu’il rechigne aussi à voler des chevaux de Troie.

tester ce type de défense est assez facile. Nous avons écrit un éditeur de texte très simple, garanti de ne pas être mis en liste blanche par le système de protection ransomware. Nous avons tenté d’accéder et de modifier les fichiers protégés. Et dans presque tous les cas, nous avons vérifié que la défense fonctionnait.

récupération de fichiers

le moyen le plus sûr de survivre à une attaque de ransomware est de maintenir une sauvegarde sécurisée et à jour de tous vos fichiers essentiels., Au-delà de la simple sauvegarde de vos fichiers, Acronis True Image travaille activement à détecter et à prévenir les attaques de ransomwares. Nous nous attendons à voir des fonctionnalités similaires dans d’autres outils de sauvegarde.

CryptoDrop Anti-Ransomware a maintenu des copies de vos fichiers sensibles dans un dossier sécurisé qui n’est visible par aucun autre processus. Hélas, alors que le site Web CryptoDrop existe toujours, il est devenu un étrange mélange d’annonces et de contenu restant, sans trace de l’utilitaire lui-même.

comme indiqué, lorsque Trend Micro détecte un processus suspect chiffrant un fichier, il sauvegarde le fichier., S’il voit une vague d’activité de cryptage suspecte, il met le processus en quarantaine et restaure les fichiers sauvegardés. ZoneAlarm suit également les activités suspectes et répare tout dommage causé par des processus qui s’avèrent être des ransomwares.

NeuShield Data Sentinel adopte une approche inhabituelle. Étant donné que ransomware doit annoncer sa présence pour demander la rançon, il ne fait aucune tentative de détecter l’activité ransomware. Au contraire, il virtualise les modifications du système de fichiers dans les dossiers protégés et vous permet d’inverser toutes les modifications après une attaque., Pour se débarrasser du ransomware lui-même, il ramène le système à l’état de la veille. Lors des tests, il s’est avéré efficace, bien que vous puissiez perdre les modifications d’un jour à vos fichiers.

Ransomware Vaccination

Les auteurs de Ransomware perdent leur crédibilité s’ils ne parviennent pas à décrypter les fichiers de ceux qui paient la rançon. Chiffrer le même ensemble de documents plusieurs fois pourrait rendre difficile, voire impossible, d’effectuer ce décryptage. Par conséquent, la plupart des programmes de ransomware incluent une sorte de vérification pour s’assurer qu’ils n’attaquent pas un système déjà infecté., Par exemple, le ransomware Petya initialement juste vérifié la présence d’un certain fichier. En créant une fausse version de ce fichier, vous pourriez effectivement vacciner votre ordinateur contre Petya.

Bitdefender Anti-Ransomware, au cours de son existence, a très spécifiquement empêché l’infestation par TeslaCrypt, BTC-Locker, Locky, et cette première édition de Petya. Il n’a eu aucun effet sur Sage, Cerber, versions ultérieures de Petya, ou toute autre famille de ransomware. Et cela ne pouvait certainement pas aider contre une toute nouvelle souche, comme le peut un système de détection basé sur le comportement., Ces limitations, ainsi que la nature en constante évolution des logiciels malveillants, ont amené Bitdefender à retirer L’outil, en s’appuyant plutôt sur la puissante protection contre les ransomwares de son antivirus à grande échelle.

tester les outils Anti-Ransomware

la façon la plus évidente de tester la protection contre les ransomwares est de libérer les ransomwares réels dans un cadre contrôlé et d’observer dans quelle mesure le produit se défend contre eux. Cependant, cela n’est possible que si le produit vous permet de désactiver son antivirus en temps réel normal tout en laissant la détection des ransomwares active., Bien sûr, les tests sont plus simples lorsque le produit en question est uniquement consacré à la protection des ransomwares, sans composant antivirus à usage général.

En outre, les échantillons de ransomware sont difficiles à traiter. Pour plus de sécurité, nous les exécutons dans une machine virtuelle sans connexion à internet ou au réseau. Certains ne fonctionneront pas du tout dans une machine virtuelle. D’autres ne font rien sans une connexion internet. Et ils sont tout simplement dangereux! Lors de l’analyse d’un nouvel échantillon, déterminer s’ajouter à la collection, nous tenons un lien, ouvrez un dossier du journal sur l’hôte de la machine virtuelle., Deux fois maintenant, nous avons eu un exemple de ransomware atteindre et commencer à chiffrer ces journaux.

KnowBe4 se spécialise dans la formation des individus et des employés pour éviter d’être touchés par des attaques de phishing. Le Phishing est un moyen pour les codeurs de logiciels malveillants de distribuer les ransomwares, de sorte que les développeurs de KnowBe4 ont créé un simulateur de ransomware appelé RanSim. RanSim simule 10 types d’attaque de ransomware, ainsi que deux comportements inoffensifs (mais similaires). Un bon score RanSim est certainement un plus, mais nous ne traitons pas un faible score comme un moins., Certains systèmes basés sur le comportement tels que RansomFree ne détectent pas la simulation, car aucun ransomware réel ne limite ses activités aux sous-dossiers quatre niveaux en dessous du dossier Documents.

ce qui n’est pas ici

Cet article se penche spécifiquement sur les solutions de protection ransomware qui sont disponibles pour les consommateurs. Il ne sert à rien d’inclure les outils de décryptage gratuits et uniques, car l’outil dont vous avez besoin dépend totalement du ransomware qui crypte vos fichiers. Mieux vaut prévenir l’attaque en premier lieu.,

CryptoPrevent Premium, créé lorsque CryptoLocker était nouveau, promettait plusieurs niveaux de protection contre les ransomwares basés sur le comportement. Cependant, au niveau de sécurité supérieur, il a inondé le bureau de fichiers d’appâts, et même à ce niveau, plusieurs échantillons du monde réel ont dépassé sa détection. Nous ne pouvons pas recommander cet outil dans sa forme actuelle.

Nous avons également omis les solutions de ransomware destinées aux grandes entreprises, qui nécessitent généralement une gestion centralisée ou même un serveur dédié., Bitdefender GravityZone Elite et Sophos Intercept X, Par exemple, dépassent le cadre de nos critiques, bien que ces services puissent l’être.

une once de prévention

récupérer vos fichiers après une attaque est bien, mais empêcher complètement cette attaque est encore mieux. Les produits énumérés ci-dessous adoptent différentes approches pour protéger vos fichiers. La protection contre les ransomwares est un domaine en évolution; il y a de bonnes chances que, à mesure que les ransomwares évoluent, les utilitaires anti-ransomwares évoluent également. Pour L’instant, ZoneAlarm Anti-Ransomware est notre premier choix pour la protection de sécurité spécifique aux ransomwares., Il a détecté tous nos échantillons de ransomware, y compris le Petya à chiffrement de disque et a réparé tous les fichiers endommagés par le ransomware. Si votre budget ne s’étend pas au paiement d’un module complémentaire de protection contre les ransomwares, envisagez de passer à une suite antivirus ou de sécurité qui inclut une couche de protection spécifique aux ransomwares.