目录:
视频: æ½®å·å¸å ´ä¸é¶ç·æéå ¬å¸ä¼ä¸å®£ä¼ ç (十月 2024)
恶意软件编写者以一种或另一种方式在其中赚钱。 比特币矿工劫持了您的CPU和GPU周期,以暗中丰富其创造者。 木马伪装成有用的程序,但会秘密窃取您的信用卡数据。 勒索软件是最直接的赚钱手段。 它会加密您的重要文件,使它们对您毫无用处,并要求您为解密密钥支付赎金。 如果勒索软件越过您的防病毒软件,您就会遇到麻烦。 这就是为什么要使用特定于勒索软件的工具(例如CryptoDrop Anti-Ransomware)来补充常规防病毒软件的原因。 该工具既可以根据勒索软件的行为来检测勒索软件,也可以恢复在检测之前加密的所有文件。 它在测试中表现不错,有些小气泡。
每年只需支付29.99美元,即可在三台PC上安装CryptoDrop。 对于单台PC,您可以选择每月支付2.99美元或每年19.99美元。 还有一个免费版本,但是其保护仅涵盖Documents文件夹,并且缺少恢复选项。 请注意,Acronis Ransomware Protection,RansomFree,Malwarebytes和趋势科技免费提供基于行为的检测。 趋势科技和Acronis还包括文件恢复。
启动和设置
与许多类似产品一样,您需要在快速,简单的安装后重新启动。 该产品最初以自由模式安装。 您可以单击链接购买完整的产品,或使用您的CryptoDrop帐户和许可证密钥进行激活。 安装并激活产品后,“检测”和“恢复”的状态指示灯均显示一个绿色圆圈。
与这些指标有关的一种奇怪行为让我有些不安。 每次我打开主窗口时,这些指示灯最初都会明显显示为红色警告。 一秒钟后,它们变为绿色。 这样做没有害处,但是感觉很草率。
单击选项按钮时,将获得受保护位置的列表。 最初,这些文件包括每个用户帐户(包括“所有用户”和“公共”)的“文档”,“音乐”,“图片”和“视频”文件夹。 在当前版本中一个已知的(但无害的)错误使Pictures文件夹出现了两次。 我强烈建议为每个帐户添加“桌面”文件夹,以及用于个人文件的任何其他个人文件夹。
CryptoDrop通过将受保护文件夹中文件的副本保留在其自己的强化文件夹中来处理文件恢复。 但是,如果您查看这个DropSafe文件夹,您将看不到任何东西,也可能看不到任何勒索软件。 使用类似于rootkit的技术,CryptoDrop使其备份文件对应用程序和操作系统不可见。
默认情况下,CryptoDrop为DropSafe保留2GB。 如果该空间开始变满,您将收到警告,并可以选择增大尺寸。 Check Point ZoneAlarm反勒索软件,趋势科技和Acronis提供基于行为的勒索软件检测和文件恢复,而不仅限于特定的文件夹集。
勒索软件检测
为了进行快速的健全性检查,我运行了一个自己编写的思路简单的假勒索软件程序。 它所做的全部工作会在Documents文件夹中找到所有文本文件,并通过翻转每个字节中的所有位(从零到1,从零到零)可逆地对其进行加密。
最初,CryptoDrop似乎不起作用。 仔细观察,我发现在Documents文件夹中只有两个文本文件。 CryptoDrop检测到“批量文件修改”,并且仅加密两个文件未注册为批量修改。 当我再次尝试使用两个文本文件时,CryptoDrop激活了该活动,暂停了该程序,并进入了Lockdown模式,使所有文件临时变为只读状态。 它还创建了一个始终阻止测试程序的规则。
通过简单的测试,我仔细检查了虚拟机测试系统与物理网络的隔离,并开始启动真实世界的勒索软件样本。 在每种情况下,CryptoDrop都可以检测到威胁,将其杀死,然后切换到“锁定”模式。
有时我会遇到勒索软件保护工具,如果勒索软件在启动时启动,而在反勒索软件实用程序之前,它们可能会被挫败。 CyberSight RansomStopper未能通过该测试,最新的IObit Advanced SystemCare Ultimate中的勒索软件保护也未通过。 当我将一个勒索软件样本设置为在启动时启动并重新启动时,CryptoDrop可以轻松防御它。
勒索软件恢复
CryptoDrop在勒索软件检测方面表现出色。 恢复组件在大多数情况下都有效,但事实证明执行起来有些不平衡。
如前所述,CryptoDrop将文件的安全备份保留在其他应用程序无法看到的目录中。 当您单击“恢复文件”时,它将显示受近期勒索软件攻击影响的文件列表。 短而宽的恢复窗口充满了测试系统的整个宽度(1, 280像素),但不足以显示十几个文件。 对于每个文件,它显示原始完整路径名,受保护备份的路径名,日期/时间戳记以及损坏原始文件的进程。 无论出于何种原因,它都会以全部大写形式显示恢复路径名,从而难以显示。
查看文件列表并仅选择要恢复的文件很重要。 我发现在大多数情况下,此列表都包含勒索软件创建的文件。 您不想恢复这些。 CryptoDrop不需要使用复选框进行选择,而是需要按住Ctrl键并单击要恢复的每个项目。
在每种情况下,实际的恢复过程都会很快发生,据我所知,已正确恢复了所有文件。 但是,在某些情况下,它的功能还很多。 例如,一次恢复尝试导致每个文件有四个版本。 除了正确恢复的文档和剩余的加密版本外,还有一个没有文件扩展名的同名文件,以及另一个扩展名为.RECOVERED的副本。 似乎有点混乱。
在另一个更麻烦的情况下,勒索软件进程在CryptoDrop暂停后仍保持运行。 在恢复过程中,它将桌面更改为赎金记录,并以HTML文件形式显示其赎金要求。 公平地说,它没有管理任何进一步的加密活动,但是暂停的文件根本不应该运行。
磁盘加密勒索软件
迄今为止,文件加密勒索软件是最常见的类型,但其中存在一些对加密驱动器进行加密的威胁,这意味着在您支付勒索软件之前,您的计算机是一块砖。 臭名昭著的Petya勒索软件伪造了系统崩溃,然后在启动时进行了磁盘检查,但实际上是在假装检查驱动器的同时加密了驱动器。
与大多数勒索软件保护实用程序一样,CryptoDrop专注于文件加密器,而不是整个磁盘加密类型。 它并没有阻止我的Petya样本。 我见过成功阻止Petya攻击的唯一产品是Acronis,RansomStopper和Sophos Home Premium。
其他技术
尽管基于行为的检测是勒索软件保护实用程序中最常见的功能,但它并不是唯一可以提供帮助的技术。 Bitdefender Antivirus Plus,趋势科技RansomBuster和其他一些禁止未经授权的程序修改受保护的文件。 如果在启动时收到弹出警告,例如新的图像编辑程序,只需单击以将其列入白名单。 如果警告出人意料,请阻止该活动。
Panda Internet Security和IObit Advanced SystemCare Ultimate是少数几种也可以阻止未授权程序读取受保护文件的程序。 这意味着它们也可以阻止窃取数据的木马。
成功的勒索软件企业家必须确保支付赎金的“客户”可以取回其文件。 这意味着他们必须避免对同一系统进行两次加密,这意味着他们需要以某种方式标记受感染的系统。 免费的Bitdefender反勒索软件使用此事实为PC接种疫苗,以抵御非常特定的已知勒索软件攻击。 它只是愚弄了攻击者以为它已经造成了严重破坏。
基于行为的检测有一个潜在的弱点。 勒索软件可能会在行为算法将其停止之前将至少几个文件加密。 免费的Malwarebytes和Cybereason RansomFree在测试中都丢失了几个文件。 这仍然比丢失所有文件更好,但是文件恢复系统更好。 在测试中,ZoneAlarm完美地完成了恢复工作。 唯一的错误是恢复成功的一种情况,但是报告失败。
有趣的新人
CryptoDrop是一家相对较新的公司,以佛罗里达大学计算机科学教授创造的技术为基础。 它有一些粗糙的边缘,例如,笨拙的要恢复的文件表示形式,以及偶尔会增加已恢复文件的数量。 在测试中,它阻止了现实中的勒索软件和模拟勒索软件,尽管在CryptoDrop报告它被抑制后,一个勒索软件程序仍在运行。 我希望将来的版本会更加完善。
勒索软件防护的编辑选择是Check Point ZoneAlarm反勒索软件。 三个许可证的月租费为2.99美元,与CryptoDrop的价格相差无几。 在测试中,它检测到了所有勒索软件样本,并干净地还原了勒索软件加密的所有文件。 即使价格太低,免费的Acronis Ransomware Protection也会将基于行为的检测与敏感文件的加密云备份结合在一起。