varför du behöver Ransomware skydd

Malware kommer i många smaker. Trojaner maskerad som giltiga program samtidigt i hemlighet stjäla dina data. Bots värva din dator i en zombie armé,att användas mot vad målet bot-herder önskningar. Och ransomware krypterar dina viktiga filer, sedan kräver hårda pengar för att återställa dem. Från tid till annan en helt ny attack kan komma förbi antivirusprogrammet, men vanligtvis en uppdatering för att åtgärda problemet visas inom några dagar, eller till och med timmar.,

det är inte bra att ha ett virus eller Trojan angripa din dator, utlösa förödelse för ett par dagar, och sedan få elimineras genom en antivirusuppdatering, men det är överlevnads. När ransomware är inblandad är det dock en annan historia. Dina filer är redan krypterade, så att eliminera förövaren gör du inte bra, och kan även störa din förmåga att betala lösensumman, om du väljer att göra det. Vissa säkerhetsprodukter inkluderar skyddslager som är specifika för ransomware, och du kan också lägga till ransomware-specifikt skydd som en hjälpare för din befintliga säkerhet.,

det är ännu värre när ditt företag blir attackerad av ransomware. Beroende på vilken typ av verksamhet, varje timme av förlorad produktivitet kan kosta tusentals dollar, eller ännu mer. Lyckligtvis, medan ransomware attacker är på uppgång, så är tekniker för att bekämpa dessa attacker. Här tittar vi på verktyg du kan använda för att skydda dig från ransomware.

Vad är Ransomware, och hur får du det?

förutsättningen för ransomware är enkel. Angriparen hittar ett sätt att ta något av er, och kräver betalning för sin retur., Kryptera ransomware, den vanligaste typen, tar bort tillgång till dina viktiga dokument genom att ersätta dem med krypterade kopior. Betala lösensumman och du får nyckeln för att dekryptera dessa dokument (du hoppas). Det finns en annan typ av ransomware som förnekar all användning av din dator eller mobil enhet. Dock, denna skärm locker ransomware är lättare att besegra, och bara inte utgör samma nivå av hot som kryptering ransomware. Kanske är det mest skadliga exemplet skadlig kod som krypterar hela hårddisken, vilket gör datorn oanvändbar. Lyckligtvis är denna sista typ ovanlig.,

om du drabbas av en ransomware attack, kommer du inte veta det först. Det visar inte de vanliga tecknen på att du har skadlig kod. Kryptera ransomware fungerar i bakgrunden, syftar till att slutföra sin otäcka uppdrag innan du märker dess närvaro. När du är klar med jobbet, det blir i ansiktet, visar instruktioner för hur man betalar lösensumman och få dina filer tillbaka. Naturligtvis kräver förövarna ospårbar betalning; Bitcoin är ett populärt val. Ransomware kan också instruera offren att köpa ett presentkort eller förbetalt betalkort och leverera kortnumret.,

När det gäller hur du kontrakterar detta angrepp, händer det ganska ofta genom ett infekterat PDF-eller kontorsdokument som skickas till dig i ett e-postmeddelande som ser legitimt ut. Det kan till och med tyckas komma från en adress inom ditt företags domän. Det verkar vara vad som hände med WannaCry ransomware attack för några år sedan. Om du har minsta tvivel om legitimiteten i e-postmeddelandet, klicka inte på länken och rapportera det till din IT-avdelning.

naturligtvis, ransomware är bara en annan typ av skadlig kod, och alla malware-leveransmetod kan föra den till dig., En drive-by-nedladdning värd en skadlig annons på en annars Säker webbplats, till exempel. Du kan även kontrakt detta gissel genom att sätta in en gimmicked USB-enhet i datorn, även om detta är mindre vanligt. Om du har tur, din malware protection utility kommer att fånga den omedelbart. Om inte, kan du vara i trubbel.

CryptoLocker och andra kryptering Malware

tills den massiva WannaCry attack, CryptoLocker var förmodligen den mest kända ransomware stam. Det dök upp för flera år sedan., Ett internationellt konsortium av brottsbekämpande och säkerhetsbyråer tog ner gruppen bakom CryptoLocker, men andra grupper höll namnet levande och tillämpade det på sina egna skadliga skapelser.

ett krympande fält

för flera år sedan kunde du välja mellan ett dussin eller så fristående Ransomware-skyddsverktyg från konsumentsäkerhetsföretag, och många av dessa verktyg var gratis. De flesta av dem har sedan dess försvunnit, av en eller annan anledning., Till exempel brukade Acronis Ransomware Protection vara ett gratis fristående verktyg, men nu visas det bara som en komponent i företagets säkerhetskopieringsprogram. På samma sätt, Malwarebytes Anti-Ransomware finns nu bara som en del av full Malwarebytes Premium. När det gäller Heilig försvar RansomOff, dess webbsida säger bara ” RansomOff kommer att vara tillbaka någon gång.”

några ransomware-skyddsverktyg kommer från företagssäkerhetsföretag som bestämde sig för att göra världen en tjänst genom att bara erbjuda sin ransomware-komponent som en freebie för konsumenter., Och en hel del av dem har också fallit vid vägkanten, eftersom företag tycker att den fria produkten äter upp supportresurser. Till exempel, CyberSight RansomStopper är inte längre med oss, och Cybereason RansomFree har också upphört.

Bitdefender Anti-Ransomware är borta för en mer praktisk anledning. Medan det fanns, tog det ett ovanligt tillvägagångssätt. En ransomware angripare som krypterade samma filer två gånger skulle riskera att förlora förmågan att dekryptera dem, så många sådana program lämnar någon form av markör för att undvika dubbel doppning., Bitdefender skulle efterlikna markörerna för många välkända ransomware typer, i själva verket berätta för dem, ” gå vidare! Du har redan varit här!”Detta tillvägagångssätt visade sig vara för begränsat för att vara praktiskt. CryptoDrop verkar också ha försvunnit, även om webbplatsen förblir.

Ransomware Recovery

även om ransomware kommer förbi ditt antivirus, är chansen bra att inom en kort stund en antivirusuppdatering kommer att rensa angriparen från ditt system. Problemet är, självklart, att ta bort ransomware själv inte får dina filer tillbaka., Den enda tillförlitliga garantin för återhämtning är att upprätthålla en härdad moln backup av dina viktiga filer.

även så, det finns en svag chans till återhämtning, beroende på vilken ransomware stam krypterade dina filer. Om ditt antivirusprogram (eller lösennoten) ger dig ett namn, är det en stor hjälp. Många antivirusleverantörer, bland annat Kaspersky, Trend Micro och Avast, upprätthåller en samling av engångsdekrypteringsverktyg. I vissa fall behöver verktyget det okrypterade originalet av en enda krypterad fil för att ställa saker till rätta. I andra fall, såsom TeslaCrypt, är en huvud dekrypteringsnyckel tillgänglig.,

men egentligen, det bästa försvaret mot ransomware innebär att hålla det från att ta dina filer som gisslan. Det finns ett antal olika sätt att uppnå detta mål.

Anti-Ransomware strategier

en väl utformad antivirus verktyg borde eliminera ransomware på sikt, men ransomware designers är knepigt. De arbetar hårt för att komma runt både gammaldags signaturbaserad malware upptäckt och mer flexibla moderna tekniker. Det tar bara en slipup av ditt antivirus för att låta en ny, okänd ransomware attack göra dina filer oanvändbara., Även om antivirusprogrammet får en uppdatering som tar bort ransomware, Det kan inte ta tillbaka filerna.

moderna antivirusprogram kompletterar signaturbaserad upptäckt med någon form av beteendeövervakning. Vissa förlitar sig uteslutande på att titta på för skadligt beteende snarare än att leta efter kända hot. Och beteendebaserad upptäckt som specifikt syftar till krypteringsrelaterade ransomware-beteenden blir allt vanligare.

Ransomware går vanligtvis efter filer som lagras på vanliga platser som skrivbordet och dokumentmappen., Vissa antivirusverktyg och Säkerhetssviter foil ransomware attacker genom att neka obehörig åtkomst till dessa platser. Vanligtvis godkänner de kända bra program som ordbehandlare och kalkylblad. Vid varje åtkomstförsök av ett okänt program frågar de dig, användaren, om du vill tillåta åtkomst. Om den anmälan kommer ut ur det blå, inte från något du gjorde själv, blockera det!

naturligtvis, med hjälp av en online backup verktyg för att hålla en up-to-date backup av dina viktiga filer är det allra bästa försvaret mot ransomware., Först, du utrota den kränkande malware, kanske med hjälp av din antivirus företagets teknisk support. Med den uppgiften klar, du helt enkelt återställa dina säkerhetskopierade filer. Observera att vissa ransomware försöker kryptera dina säkerhetskopior också. Backup-system där dina säkerhetskopierade filer visas i en virtuell hårddisk kan vara särskilt sårbara. Kontrollera med din backup leverantör för att ta reda på vilka försvar produkten har mot ransomware.,

upptäcka Ransomware beteende

under sin livslängd, Cybereason gratis RansomFree verktyg hade bara ett syfte: att upptäcka och avvärja ransomware attacker. En mycket synlig funktion i detta verktyg var dess skapande av ”bete” filer på platser som typiskt riktas av ransomware. Varje försök att ändra dessa filer utlöste en ransomware takedown. Det förlitade sig också på andra former av beteendebaserad upptäckt, men dess skapare var naturligtvis ovilliga att erbjuda mycket detaljer. Varför berätta för skurkarna vilka beteenden som ska undvikas?, Tyvärr visade det sig vara opraktiskt för det företagsfokuserade företaget att behålla denna fria produkt för konsumenterna.

Kaspersky Security Cloud Free och en hel del andra använder också beteendebaserad upptäckt för att ta ner någon ransomware som kommer förbi ditt vanliga antivirusprogram. De använder inte” bete ” filer; snarare de hålla ett vakande öga på hur program behandlar dina faktiska dokument. På att upptäcka ransomware, de karantän hotet.

Check Point ZoneAlarm Anti-Ransomware använder också bete filer, men de är inte lika synliga som RansomFree s. och det använder tydligt andra lager av skydd., Det besegrade alla våra verkliga ransomware prover i testning, fastställande av eventuella drabbade filer och även ta bort falska lösen konstaterar att ett prov visas.

Webroot SecureAnywhere AntiVirus bygger på beteendemönster för att upptäcka alla typer av skadlig kod, inte bara ransomware. Det lämnar kända bra processer ensam och eliminerar känd skadlig kod. När ETT program tillhör ingen grupp övervakar Webroot noggrant sitt beteende. Det blockerar okända från att göra Internetanslutningar, och det tidskrifter varje lokal åtgärd. Under tiden, på Webroot central, går det okända programmet igenom djup analys., Om det visar sig vara skadligt, Webroot använder journalförda data för att ångra varje åtgärd av programmet, inklusive kryptera filer. Företaget varnar för att journaldatabasen inte är obegränsad i storlek och rekommenderar att alla viktiga filer säkerhetskopieras. I ett nyligen test visade Webroot ’ s journal-and-rollback-teknik sig vara helt effektiv.

Om free Trend Micro RansomBuster upptäcker en misstänkt process som försöker filkryptering, säkerhetskopierar den filen och fortsätter att titta på., När den upptäcker en process som gör flera krypteringsförsök i snabb följd, karantän processen, meddelar användaren, och återställer säkerhetskopierade filer. I testning missade den här funktionen hälften av de verkliga ransomware-proverna vi orsakade på den. Trend Micro bekräftar att ransomware skydd är bättre med flera lager skydd av Trend Micro Antivirus + Säkerhet.

det huvudsakliga syftet med Acronis True Image är backup, naturligtvis, men den här produktens Acronis Active Protection module klockor för och förhindrar ransomware beteende., Den använder vitlistning för att undvika falskt flaggning giltiga verktyg som krypteringsprogram. Det skyddar också aktivt den viktigaste Acronis processen mot modifiering, och ser till att ingen annan process kan komma åt säkerhetskopierade filer. Om ransomware lyckas kryptera vissa filer innan de elimineras, kan Acronis återställa dem från den senaste säkerhetskopian.

förhindra obehörig åtkomst

om ett helt nytt ransomware-program kommer förbi Trend Micro Antivirus+ säkerhet, kommer det inte att kunna göra mycket skada., Funktionen Folder Shield skyddar filer i dokument och bilder, i lokala mappar som representerar onlinelagring för filsynkroniseringstjänster och på USB-enheter. Avast har lagt till en mycket liknande funktion till Avast Premium Security.

Trend Micro gratis, fristående RansomBuster skyddar bara två valda mappar och deras undermappar. Inget obehörigt program kan ta bort eller ändra filer i den skyddade zonen, även om filskapande är tillåtet. Dessutom erbjuder företaget en ransomware hotline som är tillgänglig för alla, även icke-kunder., På hotline-sidan kan du hitta verktyg för att besegra vissa screen locker ransomware och dekryptera några filer krypterade av ransomware.

Panda Dome Essential och Panda Dome Complete erbjuder en funktion som heter Data Shield. Som standard skyddar Data Shield mappen Dokument (och dess undermappar) för varje Windows-användarkonto. Det skyddar specifika filtyper inklusive Microsoft Office-dokument, bilder, ljudfiler och video. Om det behövs kan du lägga till fler mappar och filtyper., Och Panda skyddar mot all obehörig åtkomst, även läsa en skyddad fil data, så det balks data-stjäla trojaner också.

Testa denna typ av försvar är lätt nog. Vi skrev en mycket enkel textredigerare, garanterat att inte bli vitlistad av ransomware protection system. Vi försökte komma åt och ändra skyddade filer. Och i nästan alla fall verifierade vi att försvaret fungerade.

File Recovery

det säkraste sättet att överleva en ransomware attack är att upprätthålla en säker, up-to-date backup av alla dina viktiga filer., Utöver att bara säkerhetskopiera dina filer, Acronis True Image arbetar aktivt för att upptäcka och förhindra ransomware attack. Vi förväntar oss att se liknande funktioner i andra verktyg för säkerhetskopiering.

CryptoDrop Anti-Ransomware behöll kopior av dina känsliga filer i en säker mapp som inte är synlig för andra processer. Tyvärr, medan CryptoDrop-webbplatsen fortfarande finns, har det blivit en konstig blandning av annonser och överblivet innehåll, utan spår av själva verktyget.

Som noterat, när Trend Micro upptäcker en misstänkt process som krypterar en fil, säkerhetskopierar den filen., Om det ser en uppsjö av misstänkt kryptering aktivitet, det karantän processen och återställer säkerhetskopierade filer. ZoneAlarm spårar också misstänkt aktivitet och reparerar eventuella skador som orsakas av processer som visar sig vara ransomware.

Neushield Data Sentinel tar ett ovanligt tillvägagångssätt. Med tanke på att ransomware måste meddela sin närvaro för att begära lösensumman, gör det inget försök att upptäcka ransomware aktivitet. Snarare virtualiserar det filsystemet ändras till skyddade mappar, och låter dig vända alla ändringar efter en attack., För att bli av med ransomware själv rullar det tillbaka systemet till föregående dags tillstånd. Vid testning visade det sig vara effektivt, men du kan förlora en dags ändringar i dina filer.

Ransomware Vaccination

Ransomware förövare förlorar trovärdighet om de misslyckas med att dekryptera filer för dem som betalar lösensumman. Kryptering av samma uppsättning dokument flera gånger kan göra det svårt eller till och med omöjligt att utföra den dekrypteringen. Därav, de flesta ransomware program inkluderar någon form av kontroll för att se till att de inte attackera en redan infekterad system., Till exempel, Petya ransomware inledningsvis bara kontrolleras för närvaron av en viss fil. Genom att skapa en falsk version av den filen, du kan effektivt vaccinera din dator mot Petya.

Bitdefender Anti-Ransomware, under dess existens, förhindrade mycket specifikt angrepp av TeslaCrypt, BTC-Locker, Locky och den första upplagan av Petya. Det hade ingen effekt på Sage, Cerber, senare versioner av Petya, eller någon annan ransomware familj. Och det kunde verkligen inte hjälpa mot en helt ny stam, hur ett beteendebaserat detekteringssystem kan., Dessa begränsningar, tillsammans med den ständigt föränderliga natur malware, orsakade Bitdefender att dra tillbaka verktyget, förlitar sig i stället på den kraftfulla ransomware skydd av dess fullskaliga antivirus.

testa Anti-Ransomware verktyg

det mest uppenbara sättet att testa ransomware skydd är att släppa faktiska ransomware i en kontrollerad miljö och observera hur väl produkten försvarar mot det. Detta är dock endast möjligt om produkten låter dig stänga av sin normala realtid antivirus samtidigt som ransomware upptäckt aktiv., Naturligtvis är testning enklare när produkten i fråga endast ägnas åt ransomware-skydd, utan en generell antiviruskomponent.

dessutom är ransomware-prover svåra att hantera. För säkerheten kör vi dem i en virtuell maskin utan anslutning till internet eller nätverk. Vissa kommer inte att köras alls i en virtuell maskin. Andra gör ingenting utan en Internet-anslutning. Och de är helt enkelt farliga! När vi analyserar ett nytt prov, bestämmer om vi ska lägga till det i samlingen, håller vi en länk öppen till en loggmapp på den virtuella maskinens värd., Två gånger nu har vi haft en ransomware prov nå ut och börja kryptera dessa loggar.

KnowBe4 specialiserar sig på att utbilda individer och anställda för att undvika att drabbas av phishing-attacker. Nätfiske är ett sätt malware kodare distribuera ransomware, så att utvecklarna på KnowBe4 skapat en ransomware simulator kallas RanSim. RanSim simulerar 10 typer av ransomware attack, tillsammans med två ofarliga (men liknande) beteenden. En bra RanSim poäng är definitivt ett plus, men vi behandlar inte en låg poäng som ett minus., Vissa beteendebaserade system som RansomFree upptäcker inte simuleringen, eftersom ingen faktisk ransomware begränsar sin verksamhet till undermappar fyra nivåer under dokumentmappen.

Vad är inte här

den här artikeln tittar specifikt på ransomware skyddslösningar som är tillgängliga för konsumenterna. Det finns ingen mening med att inkludera de fria, engångsdekrypteringsverktygen, eftersom verktyget du behöver helt beror på vilken ransomware krypterade dina filer. Bättre att förhindra attacken i första hand.,

CryptoPrevent Premium, skapad när CryptoLocker var ny, lovade flera nivåer av beteendebaserat ransomware-skydd. Men på den övre säkerhetsnivån översvämmade den skrivbordet med betesfiler, och även på denna nivå glidde flera verkliga prover förbi upptäckten. Vi kan inte rekommendera det här verktyget i sin nuvarande form.

Vi har också utelämnat ransomware-lösningar som syftar till stora företag, vilket vanligtvis kräver central förvaltning eller till och med en dedikerad server., Bitdefender GravityZone Elite och Sophos Intercept X, till exempel, är utanför ramen för våra recensioner, värdig även om dessa tjänster kan vara.

ett uns av förebyggande

få dina filer tillbaka efter en attack är bra, men helt förhindra att attacken är ännu bättre. De produkter som anges nedan tar olika metoder för att hålla dina filer säkra. Ransomware skydd är en föränderlig fält; chanserna är bra att som ransomware utvecklas, anti-ransomware verktyg kommer att utvecklas också. För tillfället är ZoneAlarm Anti-Ransomware vårt bästa val för ransomware-specifikt säkerhetsskydd., Det upptäckte alla våra ransomware-prover, inklusive diskkrypteringen Petya och reparerade alla filer som skadades av ransomware. Om din budget inte sträcker sig till att betala för ett tillägg till ransomware-skydd, överväg att byta till ett antivirusprogram eller säkerhetssvit som innehåller ett ransomware-specifikt skyddslager.