dlaczego potrzebujesz ochrony przed Ransomware

złośliwe oprogramowanie ma wiele smaków. Trojany maskują się jako ważne programy, podczas gdy potajemnie kradną twoje dane. Boty zaciągnij swój komputer do armii zombie, aby być używanym przeciwko dowolnemu celowi, jakiego zapragnie bot-pasterz. Oprogramowanie ransomware szyfruje niezbędne pliki, a następnie wymaga twardej gotówki, aby je przywrócić. Od czasu do czasu nowy atak może ominąć program antywirusowy, ale zazwyczaj aktualizacja w celu rozwiązania problemu pojawia się w ciągu kilku dni, a nawet godzin.,

nie wspaniale jest mieć wirusa lub trojana infekującego komputer, siejącego spustoszenie przez kilka dni, a następnie zostać wyeliminowanym przez aktualizację antywirusową, ale można to przetrwać. Jeśli jednak chodzi o oprogramowanie ransomware, to inna historia. Twoje pliki są już zaszyfrowane, więc wyeliminowanie sprawcy nie przyniesie ci nic dobrego, a nawet może zakłócić Twoją zdolność do zapłaty okupu, jeśli zdecydujesz się to zrobić. Niektóre produkty zabezpieczające obejmują warstwy ochrony specyficzne dla oprogramowania ransomware, a także można dodać ochronę specyficzną dla oprogramowania ransomware jako pomocnika dla istniejących zabezpieczeń.,

jest jeszcze gorzej, gdy Twoja firma zostaje zaatakowana przez ransomware. W zależności od charakteru firmy każda godzina straconej produktywności może kosztować tysiące dolarów, a nawet więcej. Na szczęście, podczas gdy ataki ransomware rosną, podobnie jak techniki zwalczania tych ataków. Tutaj przyjrzymy się narzędziom, których możesz użyć, aby chronić się przed oprogramowaniem ransomware.

Co To jest Ransomware i jak go zdobyć?

założenie ransomware jest proste. Napastnik znajduje sposób, aby zabrać coś Twojego i żąda zapłaty za jego zwrot., Szyfrowanie ransomware, najpopularniejszy typ, odbiera dostęp do ważnych dokumentów, zastępując je zaszyfrowanymi kopiami. Zapłać okup, a otrzymasz klucz do odszyfrowania tych dokumentów(masz nadzieję). Istnieje inny rodzaj oprogramowania ransomware, który odmawia korzystania z komputera lub urządzenia mobilnego. Jednak to oprogramowanie ransomware do blokowania ekranu jest łatwiejsze do pokonania i po prostu nie stanowi takiego samego poziomu zagrożenia, jak szyfrowanie ransomware. Być może najbardziej szkodliwym przykładem jest złośliwe oprogramowanie, które szyfruje cały dysk twardy, czyniąc komputer bezużytecznym. Na szczęście ten ostatni typ jest rzadkością.,

Jeśli zostaniesz zaatakowany przez ransomware, na początku nie będziesz o tym wiedział. Nie pokazuje zwykłych oznak, że masz złośliwe oprogramowanie. Szyfrowanie ransomware działa w tle, dążąc do ukończenia swojej paskudnej misji, zanim zauważysz jej obecność. Po zakończeniu pracy dostaje się w twarz, wyświetlając instrukcje, jak zapłacić okup i odzyskać pliki. Oczywiście sprawcy wymagają nie do wyśledzenia płatności; Bitcoin jest popularnym wyborem. Oprogramowanie ransomware może również polecić ofiarom zakup karty podarunkowej lub przedpłaconej karty debetowej i podanie numeru karty.,

jeśli chodzi o sposób zarażenia się tą infekcją, często dzieje się to za pośrednictwem zainfekowanego dokumentu PDF lub dokumentu Office wysłanego do Ciebie w wiadomości e-mail, która wygląda na legalną. Może się nawet wydawać, że pochodzi z adresu w domenie Twojej firmy. Wydaje się, że to właśnie stało się z atakiem ransomware WannaCry kilka lat temu. Jeśli masz najmniejsze wątpliwości co do zasadności wiadomości e-mail, nie klikaj łącza i zgłoś go do swojego działu IT.

oczywiście ransomware to kolejny rodzaj złośliwego oprogramowania, a każda metoda dostarczania złośliwego oprogramowania może Ci go przynieść., Na przykład pobieranie z dysku hostowane przez złośliwą reklamę w innej bezpiecznej witrynie. Możesz nawet kontraktować tę plagę, wstawiając sztuczny dysk USB do komputera, choć jest to mniej powszechne. Jeśli masz szczęście, twoje narzędzie ochrony przed złośliwym oprogramowaniem natychmiast go złapie. Jeśli nie, możesz mieć kłopoty.

CryptoLocker i inne złośliwe oprogramowanie szyfrujące

do czasu ogromnego ataku WannaCry, CryptoLocker był prawdopodobnie najbardziej znanym szczepem oprogramowania ransomware. Wynurzył się kilka lat temu., Międzynarodowe konsorcjum organów ścigania i agencji bezpieczeństwa zlikwidowało grupę stojącą za CryptoLocker, ale inne grupy utrzymały nazwę przy życiu, stosując ją do własnych złośliwych dzieł.

malejące pole

kilka lat temu można było wybierać spośród kilkunastu samodzielnych narzędzi ochrony przed ransomware od firm zajmujących się bezpieczeństwem konsumentów. Większość z nich zniknęła z tego czy innego powodu., Na przykład, Acronis Ransomware Protection kiedyś było darmowym samodzielnym narzędziem, ale teraz pojawia się tylko jako składnik oprogramowania do tworzenia kopii zapasowych firmy. Podobnie Malwarebytes Anti-Ransomware istnieje teraz tylko jako część pełnej wersji Malwarebytes Premium. Jeśli chodzi o Heilig Defense RansomOff, jego strona internetowa po prostu mówi: „RansomOff wróci w pewnym momencie.”

kilka narzędzi ochrony przed ransomware pochodzi od firm zajmujących się bezpieczeństwem korporacyjnym, które zdecydowały się zrobić usługę na całym świecie, oferując tylko komponent ransomware jako darmową usługę dla konsumentów., Sporo z nich również upadło na bok, ponieważ firmy odkrywają, że darmowy produkt zjada zasoby wsparcia. Na przykład CyberSight Ransomstopper nie jest już z nami, a Cybereason RansomFree również został wycofany.

Bitdefender Anti-Ransomware zniknął z bardziej praktycznego powodu. Choć istniał, przybrał nietypowe podejście. Atakujący ransomware, który dwukrotnie zaszyfrował te same pliki, ryzykowałby utratę możliwości ich odszyfrowania, więc wiele takich programów zostawia jakiś znacznik, aby uniknąć podwójnego zanurzenia., Bitdefender naśladowałby znaczniki dla wielu znanych typów oprogramowania ransomware, w efekcie mówiąc im: „Move on! Już tu byłeś!”Podejście to okazało się zbyt ograniczone, aby było praktyczne. Wydaje się, że CryptoDrop również zniknął, choć jego strona internetowa pozostaje.

Ransomware Recovery

nawet jeśli ransomware ominie Twój program antywirusowy, są duże szanse, że w krótkim czasie aktualizacja antywirusowa usunie atakującego z twojego systemu. Problem polega oczywiście na tym, że samo usunięcie oprogramowania ransomware nie odzyskuje Twoich plików., Jedyną niezawodną gwarancją odzyskiwania jest utrzymywanie utwardzonej kopii zapasowej ważnych plików w chmurze.

mimo to istnieje niewielka szansa na odzyskanie, w zależności od tego, które obciążenie ransomware zaszyfrowało Twoje pliki. Jeśli twój program antywirusowy (lub notatka okupu) podaje ci imię, jest to bardzo pomocne. Wielu dostawców antywirusów, w tym Kaspersky, Trend Micro i Avast, utrzymuje kolekcję jednorazowych narzędzi do odszyfrowywania. W niektórych przypadkach narzędzie potrzebuje niezaszyfrowanego oryginału pojedynczego zaszyfrowanego pliku, aby wszystko naprawić. W innych przypadkach, takich jak TeslaCrypt, klucz deszyfrujący jest dostępny.,

ale tak naprawdę najlepsza obrona przed oprogramowaniem ransomware polega na powstrzymaniu go przed wzięciem plików jako zakładników. Istnieje wiele różnych podejść do osiągnięcia tego celu.

strategie Anty-Ransomware

dobrze zaprojektowane narzędzie antywirusowe powinno wyeliminować ransomware na widoku, ale projektanci ransomware są trudne. Ciężko pracują, aby obejść zarówno oldschoolowe wykrywanie złośliwego oprogramowania oparte na podpisach, jak i bardziej elastyczne nowoczesne techniki. Wystarczy tylko jeden poślizg przez program antywirusowy, aby nowy, nieznany atak ransomware uczynił Twoje pliki bezużytecznymi., Nawet jeśli program antywirusowy otrzyma aktualizację, która usunie oprogramowanie ransomware, nie może przywrócić plików.

nowoczesne narzędzia antywirusowe uzupełniają wykrywanie oparte na podpisach o pewną formę monitorowania zachowania. Niektórzy polegają wyłącznie na obserwowaniu złośliwych zachowań, a nie na szukaniu znanych zagrożeń. Coraz powszechniejsze staje się wykrywanie oparte na zachowaniu, ukierunkowane na działania oprogramowania ransomware związane z szyfrowaniem.

Ransomware zwykle atakuje pliki przechowywane w popularnych lokalizacjach, takich jak pulpit i folder Dokumenty., Niektóre narzędzia antywirusowe i pakiety zabezpieczeń udaremniają ataki ransomware, odmawiając nieautoryzowanego dostępu do tych lokalizacji. Zazwyczaj preautoryzują znane dobre programy, takie jak edytory tekstu i arkusze kalkulacyjne. Przy każdej próbie dostępu przez nieznany program, pytają użytkownika, czy zezwolić na dostęp. Jeśli to powiadomienie pojawi się znikąd, a nie z niczego, co sam zrobiłeś, zablokuj je!

oczywiście najlepszym zabezpieczeniem przed oprogramowaniem ransomware jest korzystanie z narzędzia do tworzenia kopii zapasowych online do przechowywania aktualnych kopii zapasowych ważnych plików., Po pierwsze, wykorzeniasz złośliwe oprogramowanie, być może z pomocą pomocy technicznej firmy antywirusowej. Po wykonaniu tego zadania po prostu przywracasz kopie zapasowe plików. Należy pamiętać, że niektóre programy ransomware próbują również zaszyfrować kopie zapasowe. Szczególnie podatne mogą być systemy kopii zapasowych, w których kopie zapasowe plików pojawiają się na wirtualnym dysku. Skontaktuj się z dostawcą kopii zapasowych, aby dowiedzieć się, jakie zabezpieczenia ma produkt przed oprogramowaniem ransomware.,

wykrywanie zachowań Ransomware

podczas swojego życia, Bezpłatne narzędzie Cybereason RansomFree miało tylko jeden cel: wykrywanie i zapobieganie atakom ransomware. Jedną z bardzo widocznych cech tego narzędzia było tworzenie plików „przynęty” w miejscach typowo docelowych przez oprogramowanie ransomware. Każda próba modyfikacji tych plików wywołała usunięcie oprogramowania ransomware. Opierał się również na innych formach detekcji opartej na zachowaniu, ale jego twórcy byli naturalnie niechętni oferowaniu wielu szczegółów. Po co mówić bandziorom, jakich zachowań należy unikać?, Niestety utrzymanie tego bezpłatnego produktu dla konsumentów okazało się niepraktyczne dla firmy skoncentrowanej na przedsiębiorstwie.

Kaspersky Security Cloud Free i wiele innych również korzysta z wykrywania opartego na zachowaniu, aby usunąć wszelkie oprogramowanie ransomware, które przejdzie obok zwykłego programu antywirusowego. Nie używają plików „przynęty”; raczej uważnie obserwują, jak programy traktują rzeczywiste dokumenty. Wykrywając oprogramowanie ransomware, poddają je kwarantannie.

Check Point ZoneAlarm Anti-Ransomware używa również plików przynęty, ale nie są one tak widoczne jak pliki RansomFree. , Pokonał on wszystkie nasze próbki oprogramowania ransomware w świecie rzeczywistym w testowaniu, naprawiając wszystkie dotknięte nimi pliki, a nawet usuwając fałszywe notatki o okupie, które wyświetliła jedna próbka.

Webroot SecureAnywhere AntiVirus opiera się na wzorcach zachowań w celu wykrywania wszystkich typów złośliwego oprogramowania, a nie tylko oprogramowania ransomware. Pozostawia znane dobre procesy same i eliminuje znane złośliwe oprogramowanie. Gdy program nie należy do żadnej z grup, Webroot ściśle monitoruje jego zachowanie. Blokuje niewiadomym nawiązywanie połączeń internetowych i zapisuje każdą lokalną akcję. Tymczasem w Webroot central nieznany program przechodzi głęboką analizę., Jeśli okaże się złośliwy, Webroot wykorzystuje dane z dziennika do cofnięcia każdej akcji programu, w tym szyfrowania plików. Firma ostrzega, że baza danych dziennika nie ma nieograniczonej wielkości i zaleca przechowywanie kopii zapasowej wszystkich ważnych plików. W ostatnim teście Technika Webroot journal-and-rollback okazała się całkowicie skuteczna.

Jeśli darmowy program Trend Micro ransombuster wykryje podejrzany proces próbujący zaszyfrować plik, utworzy kopię zapasową pliku i będzie go obserwować., Gdy wykryje proces podejmujący wielokrotne próby szyfrowania w szybkim tempie, poddaje go kwarantannie, powiadamia użytkownika i przywraca pliki kopii zapasowej. Podczas testów funkcja ta ominęła połowę rzeczywistych próbek oprogramowania ransomware, które jej użyliśmy. Trend Micro potwierdza, że ochrona przed ransomware jest lepsza dzięki wielowarstwowej ochronie Trend Micro Antivirus+ Security.

głównym celem programu Acronis True Image jest oczywiście tworzenie kopii zapasowych, ale moduł Acronis Active Protection tego produktu monitoruje działanie oprogramowania ransomware i zapobiega temu., Używa białej listy, aby uniknąć fałszywego oznaczania ważnych narzędzi, takich jak oprogramowanie szyfrujące. Aktywnie chroni główny proces Acronis przed modyfikacją i zapewnia, że żaden inny proces nie ma dostępu do plików kopii zapasowej. Jeśli oprogramowanie ransomware uda się zaszyfrować niektóre pliki przed ich wyeliminowaniem, Acronis może przywrócić je z najnowszej kopii zapasowej.

zapobieganie nieautoryzowanemu dostępowi

jeśli zupełnie nowy program ransomware ominie Trend Micro Antivirus+ Security, nie będzie w stanie wyrządzić większych szkód., Funkcja Folder Shield chroni pliki w dokumentach i obrazach, w folderach lokalnych, które stanowią magazyn online dla usług synchronizacji plików, oraz na dyskach USB. Avast dodał bardzo podobną funkcję do Avast Premium Security.

darmowy, samodzielny program RansomBuster firmy Trend Micro chroni tylko dwa wybrane foldery i ich podfoldery. Żaden nieautoryzowany program nie może usuwać ani modyfikować plików w strefie chronionej, chociaż tworzenie plików jest dozwolone. Ponadto firma oferuje infolinię ransomware, która jest dostępna dla każdego, nawet nieklientów., Na stronie infolinii można znaleźć narzędzia do pokonania niektórych programów ransomware screen locker i odszyfrować niektóre pliki zaszyfrowane przez ransomware.

Panda Dome Essential i Panda Dome Complete oferują funkcję o nazwie Data Shield. Domyślnie Tarcza danych chroni folder Dokumenty (i jego podfoldery) dla każdego konta użytkownika systemu Windows. Chroni określone typy plików, w tym dokumenty Microsoft Office, obrazy, pliki audio i wideo. W razie potrzeby możesz dodać więcej folderów i typów plików., A Panda chroni przed wszelkim nieautoryzowanym dostępem, nawet odczytaniem danych chronionego pliku, więc blokuje również trojany kradnące dane.

testowanie tego rodzaju obrony jest dość łatwe. Napisaliśmy bardzo prosty edytor tekstu, gwarantujący, że system ochrony przed ransomware nie zostanie umieszczony na białej liście. Próbowaliśmy uzyskać dostęp i zmodyfikować chronione pliki. Prawie w każdym przypadku sprawdzaliśmy, czy obrona działa.

Odzyskiwanie plików

najpewniejszym sposobem na przetrwanie ataku ransomware jest utrzymanie bezpiecznej, aktualnej kopii zapasowej wszystkich niezbędnych plików., Oprócz tworzenia kopii zapasowych plików, Acronis True Image aktywnie wykrywa i zapobiega atakom ransomware. Spodziewamy się podobnych funkcji w innych narzędziach do tworzenia kopii zapasowych.

CryptoDrop Anti-Ransomware przechowuje kopie poufnych plików w bezpiecznym folderze, który nie jest widoczny dla innych procesów. Niestety, chociaż strona CryptoDrop nadal istnieje, stała się dziwną mieszanką reklam i resztek treści, bez śladu samego narzędzia.

jak wspomniano, gdy Trend Micro wykryje podejrzany proces szyfrujący plik, tworzy kopię zapasową pliku., Jeśli zauważysz lawinę podejrzanych działań szyfrujących, poddasz proces kwarantannie i przywrócisz pliki kopii zapasowej. ZoneAlarm śledzi również podejrzaną aktywność i naprawia wszelkie szkody spowodowane przez procesy, które okazują się oprogramowaniem ransomware.

NeuShield Data Sentinel przyjmuje nietypowe podejście. Biorąc pod uwagę, że ransomware musi ogłosić swoją obecność, aby zażądać okupu, nie podejmuje żadnych prób wykrycia aktywności ransomware. Zamiast tego wirtualizuje zmiany systemu plików w chronionych folderach i pozwala odwrócić wszystkie zmiany po ataku., Aby pozbyć się samego oprogramowania ransomware, przywraca system do stanu z poprzedniego dnia. W testach okazało się to skuteczne, chociaż można stracić jednodniowe zmiany w plikach.

szczepienie Ransomware

sprawcy Ransomware tracą wiarygodność, jeśli nie odszyfrowają plików dla tych, którzy płacą okup. Wielokrotne szyfrowanie tego samego zestawu dokumentów może utrudnić lub nawet uniemożliwić wykonanie tego odszyfrowania. Dlatego większość programów ransomware zawiera pewnego rodzaju kontrolę, aby upewnić się, że nie zaatakują już zainfekowanego systemu., Na przykład ransomware Petya początkowo sprawdzał obecność określonego pliku. Tworząc fałszywą wersję tego pliku, możesz skutecznie zaszczepić swój komputer przeciwko Petya.

Bitdefender Anti-Ransomware, podczas swojego istnienia, bardzo konkretnie zapobiegał inwazji TeslaCrypt, BTC-Locker, Locky i pierwszej edycji Petya. Nie miało to wpływu na Sage, Cerber, późniejsze wersje Petya, ani na żadną inną rodzinę oprogramowania ransomware. I to na pewno nie pomogło w walce z nowym szczepem, tak jak może to zrobić system wykrywania zachowań., Te ograniczenia, wraz z ciągle zmieniającą się naturą złośliwego oprogramowania, spowodowały, że Bitdefender wycofał narzędzie, polegając zamiast tego na potężnej ochronie przed ransomware swojego pełnowymiarowego antywirusa.

testowanie narzędzi Anty-Ransomware

najbardziej oczywistym sposobem przetestowania ochrony przed ransomware jest wydanie rzeczywistego oprogramowania ransomware w kontrolowanym ustawieniu i obserwowanie, jak dobrze produkt się przed nim broni. Jest to jednak możliwe tylko wtedy, gdy produkt pozwala wyłączyć normalny program antywirusowy w czasie rzeczywistym, pozostawiając aktywne wykrywanie ransomware., Oczywiście testowanie jest prostsze, gdy dany produkt jest przeznaczony wyłącznie do ochrony przed ransomware, bez ogólnego komponentu antywirusowego.

ponadto trudno jest poradzić sobie z próbkami ransomware. Dla bezpieczeństwa uruchamiamy je na maszynie wirtualnej bez połączenia z Internetem lub siecią. Niektóre w ogóle nie działają na maszynie wirtualnej. Inni nie robią nic bez połączenia z Internetem. A oni są po prostu niebezpieczni! Analizując nową próbkę, określając, czy dodać ją do kolekcji, zachowujemy link otwarty do folderu dziennika na hoście maszyny wirtualnej., Dwukrotnie otrzymaliśmy próbkę oprogramowania ransomware i zaczęliśmy szyfrować te dzienniki.

KnowBe4 specjalizuje się w szkoleniu osób i pracowników, aby uniknąć ataków phishingowych. Phishing to jeden ze sposobów dystrybucji oprogramowania ransomware, dlatego programiści KnowBe4 stworzyli symulator ransomware o nazwie RanSim. RanSim symuluje 10 rodzajów ataków ransomware oraz dwa nieszkodliwe (ale podobne) zachowania. Dobry wynik RanSim to zdecydowanie plus, ale niski wynik nie traktujemy jako minus., Niektóre systemy oparte na zachowaniu, takie jak RansomFree, nie wykrywają symulacji, ponieważ żadne rzeczywiste oprogramowanie ransomware nie ogranicza swoich działań do podfolderów na czterech poziomach poniżej folderu Dokumenty.

czego tu nie ma

Ten artykuł dotyczy rozwiązań ochrony przed ransomware, które są dostępne dla konsumentów. Nie ma sensu włączać bezpłatnych, jednorazowych narzędzi odszyfrowujących, ponieważ narzędzie, którego potrzebujesz, całkowicie zależy od tego, które oprogramowanie ransomware zaszyfrowało Twoje pliki. Lepiej zapobiegać atakowi.,

Cryptoprevent Premium, stworzony, gdy CryptoLocker był nowy, obiecał kilka poziomów ochrony przed oprogramowaniem ransomware opartym na zachowaniu. Jednak na najwyższym poziomie bezpieczeństwa zalał pulpit plikami przynęty, a nawet na tym poziomie kilka rzeczywistych próbek wymknęło się jego wykryciu. Nie możemy polecić tego narzędzia w jego obecnej formie.

pominęliśmy również rozwiązania ransomware skierowane do dużych firm, które zazwyczaj wymagają centralnego zarządzania lub nawet dedykowanego serwera., Bitdefender GravityZone Elite i Sophos Intercept X, na przykład, są poza zakresem naszych recenzji, godne chociaż te usługi mogą być.

uncja zapobiegania

odzyskanie plików po ataku jest dobre, ale całkowite zapobieganie temu atakowi jest jeszcze lepsze. Produkty wymienione poniżej przyjmują różne podejścia do zapewnienia bezpieczeństwa plików. Istnieje duże prawdopodobieństwo, że wraz z rozwojem oprogramowania ransomware będą ewoluować również narzędzia Anty-ransomware. Na razie ZoneAlarm Anti-Ransomware to nasz najlepszy wybór w zakresie ochrony przed ransomware., Wykrył wszystkie nasze próbki oprogramowania ransomware, w tym szyfrującego dysk Petya i naprawił wszystkie pliki uszkodzone przez oprogramowanie ransomware. Jeśli twój budżet nie rozciąga się na płacenie za dodatek do ochrony przed ransomware, rozważ przejście na program antywirusowy lub pakiet zabezpieczeń, który zawiera warstwę ochrony specyficzną dla oprogramowania ransomware.