Why You Need Ransomware Protection

Malware comes in many flavors. Troianos disfarçam-se de programas válidos enquanto roubam secretamente os seus dados. Os Bots recrutam o seu PC num exército de zombies,para serem usados contra qualquer alvo que o pastor de bots deseje. E ransomware criptografa seus arquivos essenciais, então exige dinheiro duro para restaurá-los. De vez em quando um novo ataque pode passar pelo seu antivírus, mas normalmente uma atualização para corrigir o problema aparece dentro de alguns dias, ou mesmo horas.,

não é ótimo ter um vírus ou Trojan infestar seu PC, causar estragos por alguns dias, e depois ser eliminado por uma atualização antivírus, mas é sobrevivível. Quando ransomware está envolvido, no entanto, é uma história diferente. Seus arquivos já estão criptografados, então eliminar o perpetrador não faz nada de bom, e pode até interferir com sua capacidade de pagar o resgate, caso você opte por fazê-lo. Alguns produtos de segurança incluem camadas de proteção específicas ao ransomware, e você também pode adicionar proteção específica ao ransomware como um auxiliar para a sua segurança existente.,é ainda pior quando o seu negócio é atacado por ransomware. Dependendo da natureza do negócio, cada hora de perda de produtividade pode custar milhares de dólares, ou até mais. Felizmente, enquanto os ataques ransomware estão em ascensão, assim como as técnicas para combater esses ataques. Aqui nós olhamos para as ferramentas que você pode usar para se proteger do ransomware.

o que é o Ransomware, e como obtê-lo?

a premissa do ransomware é simples. O atacante encontra uma maneira de pegar algo seu, e exige o pagamento por seu retorno., Criptografar ransomware, o tipo mais comum, tira o acesso aos seus documentos importantes, substituindo-os por cópias criptografadas. Pague o resgate e você terá a chave para descriptografar esses documentos (você espera). Há outro tipo de ransomware que nega todo o uso de seu computador ou dispositivo móvel. No entanto, este screen locker ransomware é mais fácil de derrotar, e simplesmente não representa o mesmo nível de ameaça que criptografar ransomware. Talvez o exemplo mais pernicioso seja o malware que encripta todo o seu disco rígido, tornando o computador inutilizável. Felizmente este último tipo é incomum.,se você for atingido por um ataque de ransomware, você não vai saber isso no início. Não mostra os sinais habituais de que tens malware. Encriptar ransomware funciona em segundo plano, com o objetivo de completar sua missão desagradável antes que você Note sua presença. Uma vez terminado o trabalho, ele fica na sua cara, exibindo instruções para como pagar o resgate e obter seus arquivos de volta. Naturalmente, os autores exigem um pagamento indetectável; a Bitcoin é uma escolha popular. O ransomware também pode instruir as vítimas a comprar um cartão de presente ou cartão de débito pré-pago e fornecer o número do cartão.,quanto à forma como contrai esta infestação, muitas vezes acontece através de um documento PDF infectado ou de escritório enviado a você em um e-mail que parece legítimo. Pode até parecer vir de um endereço dentro do domínio da sua empresa. Isso parece ser o que aconteceu com o ataque WannaCry ransomware alguns anos atrás. Se você tiver a menor dúvida sobre a legitimidade do E-mail, não clique no link, e faça o relatório ao seu departamento de TI.

claro, ransomware é apenas outro tipo de malware, e qualquer método de entrega de malware pode trazê-lo para você., Um download drive-by hospedado por um anúncio malicioso em um outro site seguro, por exemplo. Você pode até mesmo contrair este flagelo, inserindo um drive USB gimmicked em seu PC, embora isso é menos comum. Se tiveres sorte, o teu utilitário de protecção contra malware apanha-o imediatamente. Se não, podes estar em apuros.

CryptoLocker e Outros Encriptação de Malware

Até que o enorme WannaCry ataque, CryptoLocker foi, provavelmente, o mais conhecido ransomware tensão. Apareceu há vários anos., Um consórcio internacional de agências de segurança e aplicação da lei derrubou o grupo por trás de CryptoLocker, mas outros grupos mantiveram o nome vivo, aplicando-o a suas próprias criações maliciosas.

a Dwindling Field

há vários anos, você poderia escolher entre uma dúzia ou mais ferramentas de proteção autônoma ransomware de empresas de segurança do consumidor, e muitas dessas ferramentas eram livres. A maioria desapareceu desde então, por uma razão ou outra., Por exemplo, Acronis Ransomware Protection costumava ser uma ferramenta independente, mas agora só aparece como um componente no software de backup da empresa. Da mesma forma, Malwarebytes Anti-Ransomware agora existe apenas como parte do Prêmio completo Malwarebytes. Quanto ao Heilig Defense RansomOff, a sua página web apenas diz: “RansomOff vai voltar em algum momento.”

algumas ferramentas de proteção ransomware vêm de empresas de segurança que decidiram fazer um serviço ao mundo, oferecendo apenas o seu componente ransomware como um freebie para os consumidores., E alguns deles também caíram no esquecimento, já que as empresas descobrem que o produto livre consome recursos de apoio. Por exemplo, CyberSight RansomStopper não está mais conosco, e Cybereason RansomFree também foi descontinuado.

Bitdefender Anti-Ransomware desapareceu por uma razão mais prática. Enquanto existia, tomou uma abordagem incomum. Um atacante ransomware que criptografou os mesmos arquivos duas vezes arriscaria perder a capacidade de descriptografá-los, então muitos desses programas deixam algum tipo de marcador para evitar o duplo mergulho., Bitdefender iria emular os marcadores para muitos tipos de ransomware bem conhecidos, na verdade dizendo – lhes, ” siga em frente! Já estiveste aqui!”Esta abordagem revelou-se demasiado limitada para ser prática. CryptoDrop, demasiado, parece ter desaparecido, embora seu Web site remanesce.

Ransomware Recovery

mesmo se ransomware passa pelo seu antivírus, as chances são boas de que dentro de um curto período de tempo uma atualização antivírus vai limpar o atacante do seu sistema. O problema é, claro, que remover o ransomware em si não recebe seus arquivos de volta., A única garantia confiável de Recuperação é a manutenção de um backup cloud endurecido de seus arquivos importantes.

mesmo assim, há uma pequena chance de recuperação, dependendo de qual a estirpe ransomware criptografou seus arquivos. Se o seu antivírus (ou a nota de resgate) lhe dá um nome, isso é uma grande ajuda. Muitos fornecedores de antivírus, entre eles Kaspersky, Trend Micro, e Avast, manter uma coleção de utilitários de decriptação única. Em alguns casos, o utilitário precisa do original não criptografado de um único arquivo criptografado para corrigir as coisas. Em outros casos, como TeslaCrypt, uma chave de decriptação Mestre está disponível.,

mas realmente, a melhor defesa contra ransomware envolve mantê-lo de tomar seus arquivos como reféns. Há uma série de abordagens diferentes para alcançar este objetivo.

estratégias Anti-Ransomware

um utilitário antivírus bem projetado deve eliminar ransomware à vista, mas os designers de ransomware são complicados. Eles trabalham duro para contornar a detecção de malware baseado em assinaturas antigas e técnicas modernas mais flexíveis. Só é preciso um slipup pelo seu antivírus para deixar um novo ataque ransomware desconhecido tornar seus arquivos inutilizáveis., Mesmo que o Antivírus receba uma atualização que remova o ransomware, ele não pode trazer de volta os arquivos.

utilitários antivírus modernos complementam a detecção baseada em assinaturas com alguma forma de monitoramento de comportamento. Alguns dependem exclusivamente de observar comportamentos maliciosos ao invés de procurar ameaças conhecidas. E a detecção baseada no comportamento especificamente voltada para comportamentos ransomware relacionados à criptografia está se tornando mais comum.

Ransomware tipicamente vai atrás de arquivos armazenados em locais comuns como o desktop e a pasta de documentos., Algumas ferramentas antivirus e suites de segurança Flower ataques ransomware negando acesso não autorizado a estes locais. Tipicamente, eles pré-autorizam bons programas conhecidos, tais como processadores de texto e planilhas. Em qualquer tentativa de acesso por um programa desconhecido, eles perguntam a você, o Usuário, se deve permitir o acesso. Se essa notificação vier do nada, não de nada que você mesmo fez, bloqueie-a!

claro, usar um utilitário de backup online para manter um backup atualizado de seus arquivos essenciais é a melhor defesa contra o ransomware., Primeiro, elimina o malware ofensivo, talvez com a ajuda do suporte técnico da sua empresa antivírus. Com essa tarefa completa, você simplesmente restaurar seus arquivos de backup. Note que alguns ransomware tenta criptografar seus backups também. Sistemas de Backup em que seus arquivos de backup aparecem em uma unidade de disco virtual pode ser especialmente vulnerável. Verifique com o seu provedor de backup para descobrir quais as defesas que o produto tem contra ransomware.,

Detecting Ransomware Behavior

During its lifespan, Cybereason’s free RansomFree utility had just one purpose: to detect and availed ransomware attacks. Uma característica muito visível deste utilitário foi a sua criação de arquivos “isca” em locais tipicamente visados pelo ransomware. Qualquer tentativa de modificar estes arquivos desencadeou uma captura de ransomware. Ele também contou com outras formas de detecção baseada no comportamento, mas seus criadores foram naturalmente relutantes em oferecer um monte de detalhes. Porquê dizer aos maus que comportamentos devem evitar?, Infelizmente, a manutenção deste produto gratuito para os consumidores revelou-se impraticável para a empresa focada na empresa.

Kaspersky Security Cloud Free and quite a few others also use behavior-based detection to take down any ransomware that gets past your regular antivirus. Eles não usam arquivos “isca”; em vez disso, eles mantêm um olho atento sobre como os programas tratam seus documentos reais. Ao detectarem o ransomware, colocam a ameaça em quarentena.

Check Point ZoneAlarm Anti-Ransomware também usa arquivos de isca, mas eles não são tão visíveis como RansomFree. e ele claramente usa outras camadas de proteção., Ele derrotou todas as nossas amostras de ransomware no mundo real em testes, corrigindo quaisquer arquivos afetados e até mesmo removendo as notas de resgate espúrias que uma amostra exibida.

Webroot SecureAnywhere AntiVirus depende de padrões de comportamento para detectar todos os tipos de malware, não apenas ransomware. Ele deixa sozinho bons processos conhecidos e elimina malware conhecido. Quando UM programa pertence a nenhum dos grupos, Webroot monitora de perto seu comportamento. Bloqueia o desconhecimento de fazer ligações à internet, e divulga todas as acções locais. Enquanto isso, na Webroot central, o programa desconhecido passa por uma análise profunda., Se se provar ser malicioso, Webroot usa os dados jornalados para desfazer todas as ações do programa, incluindo criptografar arquivos. A empresa adverte que o banco de dados da revista não é ilimitado em tamanho, e aconselha manter todos os arquivos importantes backup. Em um teste recente, a técnica de “journal-and-rollback” da Webroot provou ser totalmente eficaz.

Se o Ransombuster Free Trend detecta um processo suspeito que tenta criptografia de arquivos, ele faz backup do arquivo e continua observando., Quando ele detecta um processo que faz várias tentativas de criptografia em rápida sucessão, ele coloca em quarentena o processo, notifica o Usuário, e restaura os arquivos de backup. Ao testar, esta característica falhou metade das amostras de ransomware do mundo real que lhe infligimos. Trend Micro confirma que a proteção ransomware é melhor com a proteção multi-camadas de Trend Micro Antivirus+ Segurança.

O principal propósito da Acronis True Image é o backup, claro, mas o Acronis Active Protection module deste produto vigia e previne o comportamento do ransomware., Ele usa whitelisting para evitar falsamente sinalizar ferramentas válidas, como software de criptografia. Ele também protege ativamente o processo principal de Acrônis contra a modificação, e garante que nenhum outro processo pode acessar arquivos de backup. Se o ransomware conseguir criptografar alguns arquivos antes de ser eliminado, a Acronis pode restaurá-los a partir do backup mais recente.

impedindo o acesso não autorizado

Se um novo programa ransomware passar pela tendência Micro Antivírus+ Segurança, ele não será capaz de causar muitos danos., A funcionalidade Folder Shield protege arquivos em documentos e imagens, em pastas locais que representam armazenamento online para serviços de sincronização de arquivos, e em unidades USB. Avast adicionou uma característica muito semelhante à Avast Premium Security.

Trend Micro’s free, standalone RansomBuster just protects two selected folders, and their subfolders. Nenhum programa não autorizado pode excluir ou modificar arquivos na zona protegida, embora a criação de arquivo é permitida. Além disso, a empresa oferece uma linha direta ransomware que está disponível para qualquer um, mesmo não clientes., Na página da linha direta você pode encontrar ferramentas para derrotar algum screen locker ransomware e descriptografar alguns arquivos criptografados por ransomware.Panda Dome essencial e Panda Dome completo oferecem uma característica chamada Data Shield. Por padrão, o escudo de dados protege a pasta de documentos (e suas subpastas) para cada conta de usuário do Windows. Ele protege tipos específicos de arquivos, incluindo documentos Microsoft Office, imagens, arquivos de áudio e vídeo. Se necessário, você pode adicionar mais pastas e tipos de arquivos., E o Panda protege contra qualquer acesso não autorizado, até mesmo lendo os dados de um ficheiro protegido, por isso também recusa os troianos que roubam dados.

testar este tipo de defesa é fácil o suficiente. Nós escrevemos um editor de texto muito simples, garantido a não ser listado em branco pelo sistema de proteção ransomware. Tentámos aceder e modificar ficheiros protegidos. E em quase todos os casos verificámos que a defesa funcionou.

recuperação de arquivos

a maneira mais segura de sobreviver a um ataque de ransomware é manter um backup seguro e atualizado de todos os seus arquivos essenciais., Além de apenas fazer backup de seus arquivos, Acronis True Image trabalha ativamente para detectar e prevenir o ataque ransomware. Esperamos ver recursos semelhantes em outras ferramentas de backup.

CryptoDrop Anti-Ransomware manteve cópias de seus arquivos sensíveis em uma pasta segura que não é visível para quaisquer outros processos. Alas, enquanto o site CryptoDrop ainda existe, tornou-se uma estranha mistura de anúncios e conteúdo de sobras, sem vestígios do próprio utilitário.

Como observado, quando o Trend Micro detecta um processo suspeito criptografando um arquivo, ele faz backup do arquivo., Se ele vê uma onda de atividade de criptografia suspeita, ele coloca em quarentena o processo e restaura os arquivos de backup. ZoneAlarm também rastreia atividades suspeitas e repara qualquer dano causado por processos que se tornam ransomware.NeuShield Data Sentinel tem uma abordagem incomum. Dado que ransomware deve anunciar sua presença para solicitar o resgate, ele não faz nenhuma tentativa de detectar a atividade ransomware. Em vez disso, virtualiza as alterações do sistema de ficheiros nas pastas protegidas, e permite-lhe inverter todas as alterações após um ataque., Para se livrar do próprio ransomware, Ele rola de volta o sistema para o estado do dia anterior. No teste, ele provou ser eficaz, embora você poderia perder um dia de mudanças em seus arquivos.

Ransomware vaccation

Ransomware perpetradores perdem credibilidade se eles não descriptografam arquivos para aqueles que pagam o resgate. Criptografar o mesmo conjunto de documentos várias vezes pode tornar difícil ou mesmo impossível realizar essa decriptação. Assim, a maioria dos programas ransomware incluem algum tipo de verificação para se certificar de que eles não atacam um sistema já infectado., Por exemplo, o Petya ransomware inicialmente apenas verificou a presença de um determinado arquivo. Ao criar uma versão falsa desse arquivo, você poderia efetivamente vacinar seu computador contra Petya.

Bitdefender Anti-Ransomware, durante a sua existência, foi especificamente prevenida a infestação por TeslaCrypt, BTC-Locker, Locky, e pela primeira edição de Petya. Ele não teve nenhum efeito na Sage, Cerber, versões posteriores da Petya, ou qualquer outra família de ransomware. E certamente não poderia ajudar contra uma nova estirpe, da maneira que um sistema de detecção baseado no comportamento pode., Estas limitações, juntamente com a natureza sempre em mudança do malware, fez com que o Bitdefender retirasse a ferramenta, confiando, em vez disso, na poderosa proteção do ransomware de seu antivírus em larga escala.

testando ferramentas Anti-Ransomware

a maneira mais óbvia de testar a proteção ransomware é liberar ransomware real em uma configuração controlada e observar quão bem o produto defende contra ele. No entanto, isso só é possível se o produto permite que você desligue o seu antivírus normal em tempo real enquanto deixa a ransomware detection ativo., Claro, o teste é mais simples quando o produto em questão é exclusivamente dedicado à proteção ransomware, sem um componente antivírus de propósito geral.

além disso, as amostras de ransomware são difíceis de lidar. Por segurança, nós os executamos em uma máquina virtual sem conexão com a internet ou rede. Alguns não funcionam numa máquina virtual. Outros não fazem nada sem uma ligação à internet. E eles são simplesmente perigosos! Ao analisar uma nova amostra, determinando se adicioná-la à coleção, mantemos um link aberto para uma pasta de log na máquina virtual host., Duas vezes, já tivemos uma amostra de ransomware a procurar e começar a encriptar os registos.

KnowBe4 especializa-se em formação de indivíduos e funcionários para evitar ser atingido por ataques de phishing. Phishing é uma forma de os codificadores de malware distribuírem ransomware, então os desenvolvedores da KnowBe4 criaram um simulador de ransomware chamado RanSim. A RanSim simula 10 tipos de ataques de ransomware, juntamente com dois comportamentos inócuos (mas semelhantes). Uma boa pontuação RanSim é definitivamente um mais, mas não tratamos uma pontuação baixa como um menos., Alguns sistemas baseados no comportamento, como o RansomFree, não detectam a simulação, porque nenhum ransomware real limita suas atividades a subpastas quatro níveis abaixo da pasta Documentos.

What’s Not Here

este artigo olha especificamente para soluções de proteção ransomware que estão disponíveis para os consumidores. Não há nenhum ponto em incluir as ferramentas de decriptação grátis, uma vez que a ferramenta que você precisa totalmente depende de qual ransomware criptografou seus arquivos. É melhor prevenir o ataque em primeiro lugar.,CryptoPrevent Premium, criado quando o CryptoLocker era novo, prometeu vários níveis de proteção de ransomware baseada no comportamento. No entanto, no nível de segurança superior, inundou o ambiente de trabalho com arquivos de isca, e mesmo neste nível, várias amostras do mundo real escaparam de sua detecção. Não podemos recomendar esta ferramenta na sua forma atual.

também omitimos soluções ransomware destinadas ao grande negócio, que normalmente requerem gestão central ou até mesmo um servidor dedicado., Bitdefender GravityZone Elite e Sophos Intercep X, por exemplo, estão além do escopo de nossas críticas, embora estes serviços possam ser dignos.

uma onça de prevenção

obter seus arquivos de volta após um ataque é bom, mas completamente prevenir esse ataque é ainda melhor. Os produtos listados abaixo têm diferentes abordagens para manter seus arquivos seguros. A proteção Ransomware é um campo em evolução; as chances são boas de que, à medida que o ransomware evolui, os utilitários anti-ransomware também evoluirão. Por enquanto, ZoneAlarm Anti-Ransomware é a nossa melhor opção para proteção de segurança específica do ransomware., Ele detectou todas as nossas amostras de ransomware, incluindo a criptografia de disco Petya e consertou todos os arquivos danificados pelo ransomware. Se o seu orçamento não se estica a pagar por um adicional de proteção ransomware, considere mudar para um antivírus ou suíte de segurança que inclui uma camada de proteção específica ransomware.