waarom u Ransomwarebescherming nodig hebt

Malware heeft vele smaken. Trojans vermommen zich als geldige programma ‘ s terwijl ze in het geheim uw gegevens stelen. Bots beroep uw PC in een zombie leger, om te worden gebruikt tegen wat doel van de bot-herder verlangens. En ransomware versleutelt uw essentiële bestanden, dan eist harde geld om ze te herstellen. Van tijd tot tijd kan een gloednieuwe aanval voorbij uw antivirus, maar meestal een update om het probleem op te lossen verschijnt binnen een paar dagen, of zelfs uren.,

Het is niet geweldig om een virus of Trojan uw PC te besmetten, een paar dagen schade aan te richten en vervolgens te worden geëlimineerd door een antivirus-update, maar het is overleefbaar. Wanneer ransomware is betrokken, hoewel, het is een ander verhaal. Uw bestanden zijn al versleuteld, dus het elimineren van de dader doet je geen goed, en kan zelfs interfereren met uw vermogen om het losgeld te betalen, moet u ervoor kiezen om dit te doen. Sommige beveiligingsproducten bevatten beschermlagen die specifiek zijn voor ransomware, en u kunt ook ransomware-specifieke bescherming toevoegen als hulp voor uw bestaande beveiliging.,

Het is nog erger wanneer uw bedrijf wordt aangevallen door ransomware. Afhankelijk van de aard van het bedrijf, elk uur van verloren productiviteit kan kosten duizenden dollars, of zelfs meer. Gelukkig, terwijl ransomware aanvallen zijn op de stijging, zo zijn technieken voor het bestrijden van deze aanvallen. Hier kijken we naar tools die u kunt gebruiken om jezelf te beschermen tegen ransomware.

Wat is Ransomware, en hoe krijg je het?

het uitgangspunt van ransomware is eenvoudig. De aanvaller vindt een manier om iets van jou te nemen, en eist betaling voor zijn terugkeer., Het versleutelen van ransomware, het meest voorkomende type, neemt de toegang tot uw belangrijke documenten door ze te vervangen door versleutelde kopieën. Betaal het losgeld en je krijgt de sleutel om die documenten te decoderen (je hoopt). Er is een ander type ransomware dat alle gebruik van uw computer of mobiele apparaat ontkent. Echter, dit scherm locker ransomware is gemakkelijker te verslaan, en gewoon niet hetzelfde niveau van bedreiging als het versleutelen van ransomware vormen. Misschien wel de meest schadelijke voorbeeld is malware die uw hele harde schijf versleutelt, waardoor de computer onbruikbaar. Gelukkig is dit laatste type ongewoon.,

Als u wordt getroffen door een ransomware-aanval, zult u het eerst niet weten. Het toont niet de gebruikelijke tekenen dat je malware hebt. Versleutelen ransomware werkt op de achtergrond, gericht op zijn vervelende missie te voltooien voordat je haar aanwezigheid merken. Eenmaal klaar met de baan, het krijgt in je gezicht, het weergeven van instructies voor hoe u het losgeld te betalen en krijg je bestanden terug. Natuurlijk de daders vereisen onvindbare betaling; Bitcoin is een populaire keuze. De ransomware kan ook slachtoffers instrueren om een cadeaubon of prepaid debetkaart te kopen en het kaartnummer leveren.,

wat betreft de manier waarop u deze besmetting oploopt, gebeurt dit vaak via een geïnfecteerd PDF-of Office-document dat naar u wordt verzonden in een e-mail die er legitiem uitziet. Het kan zelfs lijken te komen van een adres binnen het domein van uw bedrijf. Dat lijkt te zijn wat er is gebeurd met de WannaCry ransomware aanval een paar jaar geleden. Als u de geringste twijfel heeft over de legitimiteit van de e-mail, klikt u niet op de link en rapporteert u deze aan uw IT-afdeling.

natuurlijk, ransomware is gewoon een ander soort malware, en elke malware-levering methode kan brengen naar u., Een drive-by download gehost door een kwaadaardige advertentie op een anders-veilige site, bijvoorbeeld. U kunt zelfs contract deze plaag door het invoegen van een gimmick USB-station in uw PC, hoewel dit minder gebruikelijk is. Als je geluk hebt, uw Malware protection utility zal het onmiddellijk te vangen. Anders zit je in de problemen.

CryptoLocker en andere Versleutelende Malware

tot de massale WannaCry-aanval was CryptoLocker waarschijnlijk de bekendste ransomware-stam. Het dook een paar jaar geleden op., Een internationaal consortium van wetshandhavings-en veiligheidsagentschappen nam de groep achter CryptoLocker, maar andere groepen hielden de naam levend, het toepassen van het op hun eigen kwaadaardige creaties.

een slinkend veld

enkele jaren geleden kon u kiezen uit een tiental standalone ransomware protection tools van consumentenbeveiligingsbedrijven, en veel van die tools waren gratis. De meeste zijn sindsdien verdwenen, om de een of andere reden., Bijvoorbeeld, Acronis Ransomware bescherming gebruikt om een gratis standalone tool, maar nu verschijnt alleen als een onderdeel in het bedrijf back-upsoftware. Ook, Malwarebytes Anti-Ransomware bestaat nu alleen als onderdeel van de volledige Malwarebytes Premium. Als voor Heilig Defense RansomOff, de webpagina zegt gewoon ” RansomOff zal terugkomen op een bepaald punt.”

een paar ransomware protection tools komen van enterprise security bedrijven die besloten om de wereld een dienst door het aanbieden van alleen hun ransomware component als een freebie voor consumenten., En een flink aantal van die zijn ook gevallen door de weg, als bedrijven vinden dat het gratis product eet support resources. Bijvoorbeeld, CyberSight RansomStopper is niet langer bij ons, en Cybereason RansomFree is ook stopgezet.

Bitdefender Anti-Ransomware is verdwenen voor een meer praktische reden. Terwijl het bestond, nam het een ongebruikelijke aanpak. Een ransomware aanvaller die dezelfde bestanden twee keer versleuteld zou het risico verliezen van de mogelijkheid om ze te decoderen, zo veel van dergelijke programma ‘ s Verlaten een soort marker om dubbele dipping te voorkomen., Bitdefender zou de markers voor vele bekende ransomware types emuleren, in feite hen te vertellen, ” ga verder! Je bent hier al geweest!”Deze aanpak bleek te beperkt om praktisch te zijn. CryptoDrop, ook, lijkt te zijn verdwenen, hoewel de website blijft.

Ransomware Recovery

zelfs als ransomware voorbij uw antivirus komt, is de kans groot dat binnen korte tijd een antivirus-update de aanvaller van uw systeem zal verwijderen. Het probleem is, natuurlijk, dat het verwijderen van de ransomware zelf niet uw bestanden terug te krijgen., De enige betrouwbare garantie van herstel is het onderhouden van een geharde cloud back-up van uw belangrijke bestanden.

toch is er een zwakke kans op herstel, afhankelijk van welke ransomware stam versleutelde bestanden. Als uw antivirus (of het losgeld nota) geeft u een naam, dat is een grote hulp. Veel antivirus leveranciers, onder hen Kaspersky, Trend Micro, en Avast, onderhouden een verzameling van eenmalige decryptie hulpprogramma ‘ s. In sommige gevallen, het hulpprogramma moet de niet-versleutelde origineel van een enkel gecodeerd bestand om dingen recht te zetten. In andere gevallen, zoals TeslaCrypt, een master decryptie sleutel is beschikbaar.,

maar echt, de beste verdediging tegen ransomware houdt in het houden van het nemen van uw bestanden gegijzeld. Er zijn een aantal verschillende benaderingen om dit doel te bereiken.

Anti-Ransomware strategieën

een goed ontworpen antivirusprogramma zou ransomware op zicht moeten elimineren, maar ransomware ontwerpers zijn lastig. Ze werken hard om rond zowel old-school handtekening gebaseerde malware detectie en meer flexibele moderne technieken te krijgen. Het duurt slechts een slipup door uw antivirus te laten een nieuwe, onbekende ransomware aanval maken van uw bestanden onbruikbaar., Zelfs als de antivirus krijgt een update die de ransomware verwijdert, het kan niet terug te brengen van de bestanden.

moderne antivirusprogramma ‘ s vullen signature-gebaseerde detectie aan met een bepaalde vorm van gedragsmonitoring. Sommigen vertrouwen uitsluitend op het kijken naar kwaadaardig gedrag in plaats van op zoek naar bekende bedreigingen. En gedrag gebaseerde detectie specifiek gericht op Encryptie-gerelateerde ransomware gedrag wordt steeds vaker.

Ransomware gaat meestal na bestanden die zijn opgeslagen op gemeenschappelijke locaties zoals het bureaublad en de map Documenten., Sommige antivirus tools en security suites foil ransomware aanvallen door het ontkennen van onbevoegde toegang tot deze locaties. Typisch, ze pre-autoriseren bekende goede programma ‘ s zoals tekstverwerkers en spreadsheets. Bij elke toegangspoging door een onbekend programma, vragen ze jou, de gebruiker, of toegang moet worden toegestaan. Als die melding uit het niets komt, niet van iets wat je zelf hebt gedaan, blokkeer het!

natuurlijk is het gebruik van een online back-up hulpprogramma om een up-to-date back-up van uw essentiële bestanden te houden de beste verdediging tegen ransomware., Eerste, u wortel uit de beledigende malware, misschien met hulp van uw antivirus bedrijf technische ondersteuning. Met die taak voltooid, u gewoon herstellen van uw back-up bestanden. Merk op dat sommige ransomware probeert om uw back-ups te versleutelen ook. Back-upsystemen waarin uw back-upbestanden op een virtuele schijf verschijnen, kunnen bijzonder kwetsbaar zijn. Neem contact op met uw back-up provider om erachter te komen wat de verdediging van het product heeft tegen ransomware.,

detecteren van Ransomware gedrag

tijdens de levensduur had Cybereason ‘ s free RansomFree utility maar één doel: het detecteren en voorkomen van ransomware aanvallen. Een zeer zichtbaar kenmerk van dit hulpprogramma was de oprichting van “aas” bestanden op locaties meestal gericht door ransomware. Elke poging om deze bestanden te wijzigen geactiveerd een ransomware takedown. Het vertrouwde ook op andere vormen van gedrag gebaseerde detectie, maar de makers waren van nature terughoudend om veel detail te bieden. Waarom de slechteriken vertellen wat gedrag te vermijden?, Helaas, het handhaven van dit gratis product voor consumenten bleek onpraktisch voor de onderneming gerichte bedrijf.

Kaspersky Security Cloud Free en een flink aantal anderen gebruiken ook op gedrag gebaseerde detectie om ransomware te verwijderen die voorbij uw gewone antivirus komt. Ze maken geen gebruik van” aas “bestanden; in plaats daarvan houden ze een oogje op hoe programma’ s omgaan met uw werkelijke documenten. Bij het detecteren van ransomware, ze quarantaine de dreiging.

Check Point ZoneAlarm Anti-Ransomware gebruikt ook bait-bestanden, maar ze zijn niet zo zichtbaar als RansomFree’ s.en het gebruikt duidelijk andere lagen van bescherming., Het versloeg al onze real-world ransomware monsters in het testen, de vaststelling van alle getroffen bestanden en zelfs het verwijderen van de valse losgeld notities die een monster weergegeven.

Webroot SecureAnywhere AntiVirus vertrouwt op gedragspatronen om alle soorten malware te detecteren, niet alleen ransomware. Het laat bekende goede processen alleen en elimineert bekende malware. Wanneer een programma tot geen van beide groepen behoort, volgt Webroot zijn gedrag nauwlettend. Het blokkeert onbekenden van het maken van internetverbindingen, en het journeert elke lokale actie. Ondertussen, bij Webroot central, het onbekende programma gaat door middel van diepe analyse., Als het kwaadaardig blijkt te zijn, Webroot gebruikt de journaled data om elke actie van het programma ongedaan te maken, met inbegrip van het versleutelen van bestanden. Het bedrijf waarschuwt wel dat het tijdschrift database is niet onbeperkt in omvang, en adviseert het houden van alle belangrijke bestanden back-up. In een recente test bleek Webroot ‘ s journal-and-rollback techniek volledig effectief.

als de free Trend Micro RansomBuster een verdacht proces detecteert dat probeert een bestand te versleutelen, maakt het een back-up van het bestand en blijft het kijken., Wanneer het detecteert een proces waardoor meerdere encryptie pogingen in snelle opeenvolging, het quarantaine van het proces, waarschuwt de gebruiker, en herstelt de back-up bestanden. In het testen, deze functie miste de helft van de real-world ransomware monsters die we toegebracht op het. Trend Micro bevestigt dat de bescherming van ransomware beter is met de meerlagige bescherming van Trend Micro Antivirus + Beveiliging.

Het belangrijkste doel van Acronis True Image is natuurlijk back-up, maar de Acronis Active Protection module van dit product let op en voorkomt ransomware gedrag., Het maakt gebruik van whitelisting om valselijk markeren geldige tools zoals encryptie software te voorkomen. Het beschermt ook actief de belangrijkste Acronis proces tegen wijziging, en zorgt ervoor dat geen ander proces toegang heeft tot back-up bestanden. Als ransomware erin slaagt om een aantal bestanden te versleutelen voordat ze worden geëlimineerd, Acronis kan ze herstellen van de nieuwste back-up.

onbevoegde toegang voorkomen

als een gloednieuw ransomwareprogramma voorbij Trend Micro Antivirus+ Beveiliging komt, zal het niet in staat zijn om veel schade aan te richten., De Folder Shield-functie beschermt bestanden in documenten en foto ‘ s, in lokale mappen die online opslag voor bestandssynchronisatiediensten vertegenwoordigen, en op USB-drives. Avast heeft een zeer vergelijkbare functie toegevoegd aan Avast Premium Security.

Trend Micro ‘ s free, standalone RansomBuster beschermt slechts twee geselecteerde mappen, en hun submappen. Geen ongeautoriseerd programma kan bestanden in de beschermde zone verwijderen of wijzigen, hoewel het aanmaken van bestanden is toegestaan. Bovendien, het bedrijf biedt een ransomware hotline die beschikbaar is voor iedereen, zelfs niet-klanten., Op de hotline pagina kunt u tools om een aantal screen locker ransomware te verslaan en decoderen sommige bestanden versleuteld door ransomware.

Panda Dome Essential en Panda Dome Complete bieden een functie genaamd Data Shield. Standaard beschermt Data Shield de map Documenten (en de submappen) voor elk Windows-gebruikersaccount. Het beschermt specifieke bestandstypen, waaronder Microsoft Office-documenten, afbeeldingen, audiobestanden en video. Indien nodig kunt u meer mappen en bestandstypen toevoegen., En Panda beschermt tegen alle onbevoegde toegang, zelfs het lezen van gegevens van een beschermd bestand, dus het balks data-stelen Trojans ook.

het testen van dit soort verdediging is eenvoudig genoeg. We schreven een zeer eenvoudige teksteditor, gegarandeerd niet te worden whitelisted door de ransomware beschermingssysteem. We probeerden beveiligde bestanden te openen en te wijzigen. En in bijna elke zaak hebben we geverifieerd dat de verdediging werkte.

bestandsherstel

de zekerste manier om een ransomware-aanval te overleven is om een veilige, up-to-date back-up van al uw essentiële bestanden te onderhouden., Meer dan alleen een back-up van uw bestanden, Acronis True Image Actief Werkt op te sporen en te voorkomen dat ransomware aanval. We verwachten soortgelijke functies te zien in andere back-up tools.

CryptoDrop Anti-Ransomware bewaarde kopieën van uw gevoelige bestanden in een beveiligde map die niet zichtbaar is voor andere processen. Helaas, terwijl de CryptoDrop website nog steeds bestaat, het is uitgegroeid tot een vreemde mix van advertenties en overgebleven inhoud, zonder spoor van het nut zelf.

zoals opgemerkt, wanneer Trend Micro een verdacht proces detecteert dat een bestand versleutelt, maakt het een back-up van het bestand., Als het ziet een vlaag van verdachte encryptie-activiteit, het quarantaine van het proces en herstelt de back-up bestanden. ZoneAlarm volgt ook verdachte activiteiten en herstelt eventuele schade veroorzaakt door processen die ransomware blijken te zijn.

NeuShield Data Sentinel hanteert een ongebruikelijke benadering. Gezien het feit dat ransomware zijn aanwezigheid moet aankondigen om het losgeld te vragen, het maakt geen poging om ransomware activiteit te detecteren. In plaats daarvan virtualiseert het bestandssysteem wijzigingen in beschermde mappen, en laat je alle veranderingen na een aanval omkeren., Om zich te ontdoen van de ransomware zelf, het rolt het systeem terug naar de toestand van de vorige dag. Bij het testen bleek het effectief, hoewel je de wijzigingen van een dag in je bestanden kon verliezen.

Ransomware vaccinatie

ransomware daders verliezen hun geloofwaardigheid als ze niet in staat zijn om bestanden te decoderen voor degenen die het losgeld betalen. Het versleutelen van dezelfde set documenten meerdere keren kan het moeilijk of zelfs onmogelijk maken om die decryptie uit te voeren. Vandaar, de meeste ransomware programma ‘ s bevatten een soort van controle om ervoor te zorgen dat ze niet een reeds geà nfecteerde systeem aan te vallen., Bijvoorbeeld, de Petya ransomware in eerste instantie net gecontroleerd op de aanwezigheid van een bepaald bestand. Door een valse versie van dat bestand te maken, kunt u uw computer effectief vaccineren tegen Petya.

Bitdefender Anti-Ransomware, tijdens zijn bestaan, zeer specifiek voorkomen besmetting door TeslaCrypt, BTC-Locker, Locky, en die eerste editie van Petya. Het had geen effect op Sage, Cerber, latere versies van Petya, of een andere ransomware familie. En het kon zeker niet helpen tegen een gloednieuwe stam, zoals een op gedrag gebaseerd detectiesysteem dat kan., Deze beperkingen, samen met de steeds veranderende aard van malware, veroorzaakt Bitdefender om de tool terug te trekken, vertrouwen in plaats daarvan op de krachtige ransomware bescherming van zijn full-scale antivirus.

Anti-Ransomwarehulpmiddelen testen

de meest voor de hand liggende manier om de bescherming van ransomware te testen is om echte ransomware in een gecontroleerde omgeving vrij te geven en te observeren hoe goed het product zich ertegen verdedigt. Echter, dit is alleen mogelijk als het product kunt u uitschakelen van de normale real-time antivirus terwijl het verlaten van ransomware detectie actief., Natuurlijk, testen is eenvoudiger wanneer het product in kwestie is uitsluitend gewijd aan de bescherming van ransomware, zonder een algemene antivirus component.

bovendien zijn ransomwarevoorbeelden moeilijk om mee om te gaan. Voor de veiligheid draaien we ze in een virtuele machine zonder verbinding met het internet of netwerk. Sommige zullen helemaal niet draaien in een virtuele machine. Anderen doen niets zonder een internetverbinding. En ze zijn gewoon gevaarlijk! Bij het analyseren van een nieuw voorbeeld en het bepalen of het aan de verzameling moet worden toegevoegd, houden we een koppeling open naar een logmap op de host van de virtuele machine., Twee keer nu hebben we een ransomware monster uit te reiken en beginnen met het versleutelen van die logs.

KnowBe4 is gespecialiseerd in het opleiden van individuen en werknemers om te voorkomen dat ze getroffen worden door phishing-aanvallen. Phishing is een manier malware coders distribueren ransomware, dus ontwikkelaars bij KnowBe4 creëerde een ransomware simulator genaamd RanSim. RanSim simuleert 10 soorten ransomware aanval, samen met twee onschuldig (maar vergelijkbaar) gedrag. Een goede ransim score is zeker een plus, maar we behandelen een lage score niet als een min., Sommige op gedrag gebaseerde systemen zoals RansomFree detecteren de simulatie niet, omdat er geen werkelijke ransomware zijn activiteiten beperkt tot submappen vier niveaus onder de map Documenten.

Wat is hier niet

Dit artikel gaat specifiek in op oplossingen voor de bescherming van ransomware die beschikbaar zijn voor consumenten. Er is geen zin in het opnemen van de gratis, eenmalige decryptie tools, omdat de tool die u nodig hebt volledig afhankelijk van welke ransomware versleutelde bestanden. Beter om de aanval te voorkomen in de eerste plaats.,

CryptoPrevent Premium, gemaakt toen CryptoLocker nieuw was, beloofde verschillende niveaus van op gedrag gebaseerde ransomware bescherming. Echter, op het hoogste beveiligingsniveau, het overspoelde de desktop met aas bestanden, en zelfs op dit niveau, een aantal real-world monsters gleed langs de detectie. We kunnen deze tool in zijn huidige vorm niet aanbevelen.

we hebben ook weggelaten ransomware oplossingen gericht op big business, die meestal centraal beheer of zelfs een dedicated server vereisen., Bitdefender GravityZone Elite en Sophos Intercept X, bijvoorbeeld, zijn buiten het bereik van onze beoordelingen, waardig hoewel deze diensten kunnen zijn.

een Ounce preventie

uw bestanden terughalen na een aanval is goed, maar het volledig voorkomen van die aanval is nog beter. De onderstaande producten nemen verschillende benaderingen van het houden van uw bestanden veilig. Ransomware bescherming is een evoluerend gebied; de kans is groot dat als ransomware evolueert, anti-ransomware utilities zal ook evolueren. Voor nu, ZoneAlarm Anti-Ransomware is onze top keuze voor ransomware-specifieke Beveiliging Bescherming., Het gedetecteerd al onze ransomware monsters, met inbegrip van de schijf versleutelen Petya en gerepareerd alle bestanden beschadigd door de ransomware. Als uw budget zich niet uitstrekt tot het betalen voor een add-on voor bescherming tegen ransomware, overweeg dan om over te schakelen naar een antivirus-of beveiligingssuite die een ransomware-specifieke beschermingslaag bevat.