de ce aveți nevoie de protecție Ransomware

Malware-ul vine în multe arome. Troienii masquerade ca programe valide în timp ce fura în secret datele. Bots înrola PC-ul într-o armată zombie, pentru a fi utilizate împotriva orice țintă dorește bot-herder. Și ransomware criptează fișierele esențiale, apoi cere bani greu pentru a le restabili. Din când în când, un atac nou-nouț poate trece de antivirusul dvs., dar, de obicei, o actualizare pentru a remedia problema apare în câteva zile sau chiar ore.,

nu este grozav să ai un virus sau un troian care să îți infecteze PC-ul, să facă ravagii pentru câteva zile și apoi să fii eliminat printr-o actualizare antivirus, dar este supraviețuitor. Când este implicat ransomware, totuși, este o altă poveste. Fișierele dvs. sunt deja criptate, astfel încât eliminarea făptuitorului nu vă ajută și poate chiar să interfereze cu capacitatea dvs. de a plăti răscumpărarea, dacă optați să faceți acest lucru. Unele produse de securitate includ straturi de protecție specifice ransomware-ului și puteți adăuga, de asemenea, protecție specifică ransomware-ului ca ajutor pentru securitatea existentă.,

este și mai rău atunci când afacerea dvs. este atacată de ransomware. În funcție de natura afacerii, fiecare oră de productivitate pierdută ar putea costa mii de dolari sau chiar mai mult. Din fericire, în timp ce atacurile ransomware sunt în creștere, la fel și tehnicile de combatere a acestor atacuri. Aici ne uităm la instrumentele pe care le puteți utiliza pentru a vă proteja de ransomware.

ce este Ransomware-ul și cum îl obțineți?

premisa ransomware-ului este simplă. Atacatorul găsește o modalitate de a lua ceva de-al tău și cere plata pentru returnarea lui., Criptarea ransomware-ului, cel mai frecvent tip, elimină accesul la documentele dvs. importante, înlocuindu-le cu copii criptate. Plătiți răscumpărarea și veți obține cheia pentru a decripta aceste documente (sperați). Există un alt tip de ransomware care neagă orice utilizare a computerului sau a dispozitivului mobil. Cu toate acestea, acest ransomware screen locker este mai ușor de învins și pur și simplu nu prezintă același nivel de amenințare ca criptarea ransomware-ului. Poate cel mai periculos exemplu este malware-ul care criptează întregul hard disk, făcând computerul inutilizabil. Din fericire, acest ultim tip este neobișnuit.,

dacă ești lovit de un atac de tip ransomware, nu vei ști la început. Nu arată semnele obișnuite că aveți malware. Criptarea ransomware funcționează în fundal, cu scopul de a finaliza misiunea urât înainte de a observa prezența sa. Odată terminat cu locul de muncă, acesta devine în fața ta, afișarea instrucțiuni pentru cum să plătească răscumpărarea și de a lua fișierele înapoi. În mod natural, făptașii necesită o plată nedetectabilă; Bitcoin este o alegere populară. Ransomware-ul poate, de asemenea, să instruiască victimele să achiziționeze un card cadou sau un card de debit preplătit și să furnizeze numărul cardului.,în ceea ce privește modul în care contractați această infestare, destul de des se întâmplă printr-un document PDF sau Office infectat trimis într-un e-mail care pare legitim. Poate părea chiar să provină de la o adresă din domeniul companiei dvs. Asta pare a fi ceea ce sa întâmplat cu atacul ransomware WannaCry acum câțiva ani. Dacă aveți cea mai mică îndoială cu privire la legitimitatea e-mailului, nu faceți clic pe link și raportați-l departamentului IT.desigur, ransomware-ul este doar un alt tip de malware și orice metodă de livrare a malware-ului vă poate aduce acest lucru., O descărcare drive-by găzduită de o reclamă rău intenționată pe un site altfel sigur, de exemplu. Ați putea chiar să contractați acest flagel introducând o unitate USB gimmicked în computer, deși acest lucru este mai puțin obișnuit. Dacă aveți noroc, utilitarul dvs. de protecție împotriva malware-ului îl va prinde imediat. Dacă nu, ai putea avea probleme.

CryptoLocker și Alte Criptarea Malware

Până masive WannaCry atac, CryptoLocker a fost, probabil, cel mai cunoscut ransomware tulpina. A apărut acum câțiva ani., Un consorțiu internațional de agenții de aplicare a legii și de securitate a luat în jos grupul din spatele CryptoLocker, dar alte grupuri au păstrat numele în viață, aplicându-l la propriile creații rău intenționate.

un câmp în scădere

acum câțiva ani, puteai alege dintr-o duzină de instrumente de protecție ransomware independente de la companii de securitate pentru consumatori, iar multe dintre aceste instrumente erau gratuite. Cele mai multe dintre acestea au dispărut de atunci, dintr-un motiv sau altul., De exemplu, Acronis Ransomware Protection a fost un instrument independent gratuit, dar acum apare doar ca o componentă în software-ul de rezervă al companiei. De asemenea, Malwarebytes Anti-Ransomware există acum doar ca parte a Malwarebytes Premium complet. În ceea ce privește Heilig Defense RansomOff, pagina sa Web spune doar „RansomOff se va întoarce la un moment dat.câteva instrumente de protecție ransomware provin de la companii de securitate pentru întreprinderi care au decis să facă lumii un serviciu oferind doar componenta lor ransomware ca un freebie pentru consumatori., Și destul de puțini dintre aceștia au căzut, de asemenea, pe marginea drumului, deoarece companiile constată că produsul gratuit consumă resurse de asistență. De exemplu, CyberSight RansomStopper nu mai este cu noi, și Cybereason RansomFree a fost, de asemenea, întreruptă.Bitdefender Anti-Ransomware a dispărut dintr-un motiv mai practic. În timp ce a existat, a avut o abordare neobișnuită. Un atacator de ransomware care a criptat aceleași fișiere de două ori ar risca să piardă capacitatea de a le decripta, atât de multe astfel de programe lasă un fel de marker pentru a evita dublarea., Bitdefender ar imita markerii pentru multe tipuri de ransomware cunoscute, de fapt spunându-le: „mergeți mai departe! Ai fost deja aici!”Această abordare s-a dovedit prea limitată pentru a fi practică. CryptoDrop, de asemenea, pare să fi dispărut, deși site-ul său rămâne.

recuperare Ransomware

chiar dacă ransomware-ul trece de antivirusul dvs., sunt șanse mari ca în scurt timp o actualizare antivirus să elimine atacatorul din sistemul dvs. Problema este, desigur, că eliminarea ransomware-ului în sine nu vă recuperează fișierele., Singura garanție fiabilă a recuperării este menținerea unei copii de rezervă în cloud a fișierelor dvs. importante.chiar și așa, există o șansă slabă de recuperare, în funcție de tulpina de ransomware care ți-a criptat fișierele. Dacă antivirusul dvs. (sau nota de răscumpărare) vă oferă un nume, este de mare ajutor. Mulți furnizori de antivirus, printre care Kaspersky, Trend Micro și Avast, mențin o colecție de utilități unice de decriptare. În unele cazuri, utilitarul are nevoie de originalul necriptat al unui singur fișier criptat pentru a îndrepta lucrurile. În alte cazuri, cum ar fi TeslaCrypt, este disponibilă o cheie de decriptare master.,dar, într-adevăr, cea mai bună apărare împotriva ransomware-ului implică împiedicarea luării fișierelor dvs. ostatice. Există o serie de abordări diferite pentru a atinge acest obiectiv.

strategii Anti-Ransomware

un utilitar antivirus bine conceput ar trebui să elimine ransomware-ul la vedere, dar designerii de ransomware sunt dificili. Ei muncesc din greu pentru a obține atât detectarea malware-ului bazat pe semnături vechi, cât și tehnici moderne mai flexibile. Este nevoie doar de un singur slipup de antivirus pentru a permite un nou atac ransomware necunoscut face fișierele inutilizabile., Chiar dacă antivirusul primește o actualizare care elimină ransomware-ul, nu poate readuce fișierele.utilitățile antivirus moderne completează detectarea bazată pe semnături cu o anumită formă de monitorizare a comportamentului. Unii se bazează exclusiv pe urmărirea comportamentului rău intenționat, în loc să caute amenințări cunoscute. Iar detectarea bazată pe comportament care vizează în mod specific comportamentele ransomware legate de criptare devine din ce în ce mai frecventă.

Ransomware merge de obicei după fișierele stocate în locații comune, cum ar fi desktop și dosarul Documente., Unele instrumente antivirus și suite de securitate împiedică atacurile ransomware prin refuzul accesului neautorizat la aceste locații. De obicei, preautorizează programe bune cunoscute, cum ar fi procesoare de text și foi de calcul. La orice încercare de acces a unui program necunoscut, ei vă întreabă pe dvs., utilizatorul, dacă permiteți accesul. În cazul în care notificarea vine din senin, nu de la nimic ai făcut-te, bloca!desigur, utilizarea unui utilitar de backup online pentru a păstra o copie de rezervă actualizată a fișierelor esențiale este cea mai bună apărare împotriva ransomware-ului., În primul rând, eliminați malware-ul ofensator, poate cu ajutorul suportului tehnic al companiei antivirus. Cu această sarcină completă, pur și simplu restaurați fișierele de rezervă. Rețineți că unele ransomware încearcă să cripteze și copiile de rezervă. Sistemele de Backup în care fișierele dvs. de rezervă apar într-o unitate de disc virtuală pot fi deosebit de vulnerabile. Consultați-vă cu furnizorul dvs. de backup pentru a afla ce apărare are produsul împotriva ransomware-ului.,

detectarea comportamentului Ransomware

pe parcursul duratei sale de viață, utilitatea gratuită Ransomfree a Cybereason a avut un singur scop: să detecteze și să evite atacurile ransomware. O caracteristică foarte vizibilă a acestui utilitar a fost crearea de fișiere „momeală” în locații vizate de obicei de ransomware. Orice încercare de a modifica aceste fișiere a declanșat o eliminare ransomware. De asemenea, s-a bazat pe alte forme de detectare bazată pe comportament, dar creatorii săi au fost în mod natural reticenți în a oferi multe detalii. De ce să le spui băieților răi ce comportamente trebuie evitate?, Din păcate, menținerea acestui produs gratuit pentru consumatori s-a dovedit impracticabilă pentru compania concentrată pe întreprindere.Kaspersky Security Cloud Free și multe altele folosesc, de asemenea, detectarea bazată pe comportament pentru a elimina orice ransomware care trece de antivirusul obișnuit. Ei nu folosesc fișiere „momeală”; mai degrabă ei ține un ochi aproape de modul în care programele trata documentele reale. La detectarea ransomware-ului, ei pun în carantină amenințarea.

Check Point ZoneAlarm Anti-Ransomware folosește, de asemenea, fișiere bait, dar nu sunt la fel de vizibile ca RansomFree. și folosește în mod clar alte straturi de protecție., A învins toate probele noastre de ransomware din lumea reală în testare, fixând fișierele afectate și chiar eliminând notele de răscumpărare false pe care le-a afișat un eșantion.

Webroot SecureAnywhere AntiVirus se bazează pe modele de comportament pentru a detecta toate tipurile de malware, nu doar ransomware. Lasă numai procesele bune cunoscute și elimină malware-ul cunoscut. Când un program nu aparține niciunui grup, Webroot monitorizează îndeaproape comportamentul acestuia. Blochează necunoscutele să facă conexiuni la internet și jurnalizează fiecare acțiune locală. Între timp, la Webroot central, programul necunoscut trece printr-o analiză profundă., Dacă se dovedește a fi rău intenționat, Webroot folosește datele jurnalizate pentru a anula fiecare acțiune a programului, inclusiv criptarea fișierelor. Compania avertizează că baza de date jurnal nu este nelimitat în dimensiune, și recomandă păstrarea toate fișierele importante susținute. Într-un test recent, tehnica jurnalului și rollback-ului Webroot s-a dovedit complet eficientă.dacă Free Trend Micro RansomBuster detectează un proces suspect care încearcă criptarea fișierelor, face o copie de rezervă a fișierului și continuă să urmărească., Când detectează un proces care face mai multe încercări de criptare în succesiune rapidă, Acesta pune în carantină procesul, notifică utilizatorul și restabilește fișierele de rezervă. În timpul testării, această caracteristică a ratat jumătate din probele de ransomware din lumea reală pe care le-am provocat. Trend Micro confirmă faptul că protecția ransomware este mai bună cu protecția în mai multe straturi a Trend Micro Antivirus+ Security.scopul principal al Acronis True Image este backup-ul, desigur, dar modulul Acronis Active Protection al acestui produs urmărește și previne comportamentul ransomware., Utilizează lista albă pentru a evita marcarea falsă a instrumentelor valide, cum ar fi software-ul de criptare. De asemenea, protejează în mod activ procesul principal Acronis împotriva modificării și se asigură că niciun alt proces nu poate accesa fișierele de rezervă. Dacă ransomware reușește să cripteze unele fișiere înainte de a fi eliminate, Acronis le poate restaura din cea mai recentă copie de rezervă.

prevenirea accesului neautorizat

dacă un program ransomware nou-nouț trece de Trend Micro Antivirus+ Security, nu va putea face prea multe daune., Funcția Folder Shield protejează fișierele din documente și imagini, din folderele locale care reprezintă stocarea online pentru serviciile de sincronizare a fișierelor și pe unitățile USB. Avast a adăugat o caracteristică foarte asemănătoare cu Avast Premium Security.Ransombuster-ul gratuit și autonom al Trend Micro protejează doar două foldere selectate și subfolderele acestora. Niciun program neautorizat nu poate șterge sau modifica fișierele din zona protejată, deși crearea fișierelor este permisă. În plus, compania oferă o linie telefonică ransomware care este disponibilă pentru oricine, chiar și pentru clienți., Pe pagina hotline puteți găsi instrumente pentru a învinge unele screen locker ransomware și decripta unele fișiere criptate de ransomware.Panda Dome Essential și Panda Dome Complete oferă o caracteristică numită Data Shield. În mod implicit, Data Shield protejează folderul Documente (și subfolderele sale) pentru fiecare cont de utilizator Windows. Protejează anumite tipuri de fișiere, inclusiv documente Microsoft Office, imagini, fișiere audio și video. Dacă este necesar, puteți adăuga mai multe foldere și tipuri de fișiere., Și Panda protejează împotriva tuturor accesului neautorizat, chiar și citirea datelor unui fișier protejat, așa că împiedică și troienii care fură date.testarea acestui tip de apărare este destul de ușoară. Am scris un editor de text foarte simplu, garantat să nu fie listat de sistemul de protecție ransomware. Am încercat să accesăm și să modificăm fișierele protejate. Și în aproape fiecare caz am verificat că apărarea a funcționat.

Recuperare fișiere

cea mai sigură modalitate de a supraviețui unui atac ransomware este să mențineți o copie de rezervă sigură și actualizată a tuturor fișierelor esențiale., Dincolo de doar backup-ul fișierelor, Acronis True Image lucrează activ pentru a detecta și preveni atacul ransomware. Ne așteptăm să vedem funcții similare în alte instrumente de rezervă.

CryptoDrop Anti-Ransomware-a menținut exemplare sensibile fișiere într-un folder sigur că nu e vizibil pentru orice alte procese. Din păcate, în timp ce site-ul CryptoDrop există încă, a devenit un amestec ciudat de anunțuri și conținut rămas, fără urmă de utilitate în sine.după cum sa menționat, atunci când Trend Micro detectează un proces suspect care criptează un fișier, acesta face o copie de rezervă a fișierului., Dacă vede o rafală de activitate de criptare suspectă, pune în carantină procesul și restabilește fișierele de rezervă. ZoneAlarm urmărește, de asemenea, activitatea suspectă și repară orice daune cauzate de procese care se dovedesc a fi ransomware.NeuShield Data Sentinel are o abordare neobișnuită. Având în vedere că ransomware-ul trebuie să-și anunțe prezența pentru a solicita răscumpărarea, nu face nicio încercare de a detecta activitatea ransomware. Mai degrabă, virtualizează modificările sistemului de fișiere în folderele protejate și vă permite să inversați toate modificările după un atac., Pentru a scăpa de ransomware-ul în sine, acesta readuce sistemul la starea din ziua precedentă. În testare, s-a dovedit eficient, deși puteți pierde modificările de o zi la fișierele dvs.

vaccinarea Ransomware

infractorii Ransomware își pierd credibilitatea dacă nu reușesc să decripteze fișierele pentru cei care plătesc răscumpărarea. Criptarea aceluiași set de documente de mai multe ori ar putea face dificilă sau chiar imposibilă efectuarea acelei decriptări. Prin urmare, majoritatea programelor ransomware includ un fel de verificare pentru a vă asigura că nu atacă un sistem deja infectat., De exemplu, ransomware-ul Petya a verificat inițial prezența unui anumit fișier. Prin crearea unei versiuni false a acelui fișier, puteți vaccina eficient computerul împotriva lui Petya.Bitdefender Anti-Ransomware, în timpul existenței sale, a împiedicat foarte specific infestarea de către TeslaCrypt, BTC-Locker, Locky și acea primă ediție a Petya. Nu a avut nici un efect asupra Sage, Cerber, versiunile ulterioare ale Petya sau orice altă familie ransomware. Și cu siguranță nu ar putea ajuta împotriva unei tulpini nou-nouț, modul în care un sistem de detectare bazat pe comportament poate., Aceste limitări, împreună cu natura în continuă schimbare a malware-ului, au determinat Bitdefender să retragă instrumentul, bazându-se în schimb pe puternica protecție ransomware a antivirusului său la scară largă.

Testarea Anti-Ransomware Instrumente

Cel mai evident mod de a testa protecție ransomware este de a elibera real ransomware într-un mediu controlat, și observați cât de bine produsul apără împotriva ei. Totuși, acest lucru este posibil numai dacă produsul vă permite să dezactivați antivirusul său normal în timp real, lăsând activ detectarea ransomware-ului., Desigur, testarea este mai simplă atunci când produsul în cauză este dedicat exclusiv protecției ransomware, fără o componentă antivirus de uz general.în plus, mostrele de ransomware sunt greu de rezolvat. Pentru siguranță, le rulăm într-o mașină virtuală fără conexiune la internet sau rețea. Unii nu vor rula deloc într-o mașină virtuală. Alții nu fac nimic fără o conexiune la internet. Și sunt pur și simplu periculoase! Când analizăm un nou eșantion, determinând dacă îl adăugăm la colecție, păstrăm un link deschis către un folder jurnal de pe gazda mașinii virtuale., De două ori am avut un eșantion de ransomware care a ajuns și a început să cripteze acele jurnale.

KnowBe4 este specializată în formarea indivizilor și a angajaților, pentru a evita fiu lovit de atacuri de tip phishing. Phishingul este o modalitate prin care programatorii malware distribuie ransomware, astfel încât dezvoltatorii de la KnowBe4 au creat un simulator de ransomware numit RanSim. RanSim simulează 10 tipuri de atac ransomware, împreună cu două comportamente inofensive (dar similare). Un scor bun RanSim este cu siguranță un plus, dar nu tratăm un scor scăzut ca un minus., Unele sisteme bazate pe comportament, cum ar fi RansomFree, nu detectează simularea, deoarece niciun ransomware efectiv nu își limitează activitățile la subfoldere la patru niveluri sub folderul Documente.

ce nu este aici

Acest articol analizează în mod specific soluțiile de protecție ransomware care sunt disponibile pentru consumatori. Nu are rost să includeți instrumentele de decriptare gratuite, unice, deoarece instrumentul de care aveți nevoie depinde în totalitate de ce ransomware a criptat fișierele. Mai bine pentru a preveni atacul în primul rând.,CryptoPrevent Premium, creat când CryptoLocker era nou, a promis mai multe niveluri de protecție ransomware bazată pe comportament. Cu toate acestea, la cel mai înalt nivel de securitate, a inundat desktopul cu fișiere de momeală și chiar la acest nivel, mai multe probe din lumea reală au trecut de detectarea sa. Nu putem recomanda acest instrument în forma sa actuală.de asemenea, am omis soluțiile ransomware destinate marilor companii, care de obicei necesită management central sau chiar un server dedicat., Bitdefender GravityZone Elite și Sophos Intercept X, de exemplu, sunt dincolo de sfera recenziilor noastre, demne, deși aceste servicii pot fi.

o uncie de prevenire

obținerea fișierelor înapoi după un atac este bună, dar prevenirea completă a acelui atac este și mai bună. Produsele enumerate mai jos adoptă diferite abordări pentru a vă păstra fișierele în siguranță. Protecția împotriva Ransomware este un domeniu în evoluție; șansele sunt bune ca, pe măsură ce ransomware-ul evoluează, utilitățile anti-ransomware să evolueze și ele. Deocamdată, ZoneAlarm Anti-Ransomware este alegerea noastră de top pentru protecția de securitate specifică ransomware-ului., A detectat toate mostrele noastre de ransomware, inclusiv Petya care criptează discul și a reparat toate fișierele deteriorate de ransomware. Dacă bugetul dvs. nu se întinde până la plata unui supliment de protecție ransomware, luați în considerare trecerea la un antivirus sau o suită de securitate care include un strat de protecție specific ransomware.