目录:
视频: Introduction to Amazon Web Services by Leo Zhadanovsky (十月 2024)
如果您的防病毒软件未能捕获到窃取数据的木马,则可以获得新的信用卡。 如果实际病毒超出了防御范围,则应使用积极的清除工具来解决该问题。 但是,如果您的防病毒软件错过了勒索软件攻击,则可能会丢失所有文档,甚至无法访问计算机。 这就是Cybereason的RansomFree出现的地方。此免费的专用勒索软件保护实用程序可与您现有的防病毒软件一起使用。 它通过监视这些攻击常见的行为,将100%的精力集中在检测和防止勒索软件泛滥。 在测试中,通过讨厌的,真实的恶意软件样本,它可以完成工作。
Cybereason小组的成员在以色列情报总队的8200精锐部队中接受了培训,这是一个专门致力于网络安全的团队。 他们在军事级别的网络攻击上cut之以鼻,现在为包括软银,Vizio和洛克希德·马丁在内的主要公司提供高端防御。 随着勒索软件流行开始使更多消费者面临风险,该公司的首席执行官决定从完整的Cybereason安全套件中提取勒索软件组件,并免费为消费者提供勒索软件保护。 小型企业也可以使用它; 较大的企业应该考虑全面的Cybereason服务。
安装后,RansomFree会立即开始保护您的系统免受勒索软件的侵害。 它在后台运行,监视特定于勒索软件的行为。 作为此过程的一部分,它将在主要位置(如“桌面”和“文档”文件夹)中创建“诱饵”文件。 没有防病毒签名; RansomFree依赖基于行为的检测。
勒索软件的攻击
RansomFree是我去年审查的首批特定于勒索软件的安全工具之一。 当时,我只有几个真实的示例,以及这些示例的手工修改的变体。 我现在有六个样本,涵盖了各种勒索软件系列。 RansomFree检测到并阻止了所有人。
当它发现一个行为类似于勒索软件的进程时,RansomFree会挂起该进程并显示警告。 您单击是终止过程并清除所有问题。 您也可以单击“否”,但我不建议这样做。 有一个链接可以查看由违规过程创建,修改或删除的所有文件。 查看该信息,例如,我看到一个攻击者在Documents文件夹中创建了一个具有随机名称的可执行文件,并将控制权移交给了该程序。 另一个加载到内存后删除了其磁盘上的存在。
在某些情况下,RansomFree弹出两次或什至三次。 我总是单击“是”。 完成后,它警告说勒索软件可能留下了勒索票据或其他必须手动清除的碎屑。 确实,我在几起案件中发现了赎金记录。
我遇到了两种无法阻止Windows启动时发起的勒索软件攻击的产品。 IObit Advanced SystemCare Ultimate和免费的CyberSight RansomStopper就是一个例子。 当我配置勒索软件样本以在启动时启动时,RansomFree毫无问题地检测并终止了它。
我手上有一个小型,简单的勒索软件模拟器,这是我自己编写的程序。 它所做的只是在Documents文件夹中找到文本文件,并对它们应用XOR加密。 这种技术只是将所有一位翻转为零,而将所有零翻转为1。 再次应用它会解密文件。 事实证明,对于RansomFree而言,这太简单了,以至于它并没有真正的破坏力。 其他相当多的竞争实用程序都忽略了我的FakeCryptor,其中包括Acronis和CryptoDrop Anti-Ransomware。
磁盘加密勒索软件
最常见的勒索软件会加密您的基本文件,但会使计算机无法运行。 这是完全合理的,因为受害者需要互联网和计算机访问才能支付赎金。 但是,还有另一种较不常见的类型执行整个磁盘加密,从而有效地对设备进行了块化处理,直到您付款为止。 臭名昭著的Petya勒索软件就是这样的一种,我设法捕获了Petya样本。
基于行为的勒索软件防护实用程序不一定能防御这种类型的攻击。 自获得Petya样本以来,我测试的其他四个产品中,Acronis和RansomStopper阻止了Petya攻击,但Malwarebytes Anti-Ransomware Beta和CryptoDrop却没有。
Cybereason博客文章使我认为RansomFree可能会阻止Petya。 但是,当我启动示例时,它继续使系统崩溃,并在重新引导时运行假装的低级磁盘修复。 实际上,它是在加密磁盘,而不是对其进行修复。 值得注意的是,磁盘加密勒索软件比文件加密类型少得多,而且您的防病毒软件很可能在对其造成任何危害之前就将其捕获。
模拟勒索软件难题
KnowBe4是一家以反网络钓鱼培训而不是产品闻名的公司,但是它提供免费的RanSim Ransomware Simulator。 RanSim无需接触您自己的任何宝贵文件,就可以模拟十种最常见的勒索软件技术,以及两种不应阻止勒索软件保护的无害相关技术。
我在测试系统上安装了RanSim并运行了其测试序列,结果令人失望。 RansomFree正确地避免了干扰两个假阳性方案,但是它也没有阻止10个勒索软件方案。
在与Cybereason和KnowBe4进行了一些深入的挖掘,研究之后,我逐渐了解了这个问题。 RanSim将其测试文件放在Documents文件夹下面四个级别的文件夹中的文件夹中。 加密此类文件而不接触Documents文件夹的实际内容,绝不是与任何现实勒索软件相匹配的行为。 因此,RansomFree忽略了它。 Acronis阻止了所有10种情况,而Malwarebytes获得了8种。 其他人则消灭了整个测试平台,这意味着它无法报告任何结果。
其他大道
勒索软件是一个严重的问题,因此其他公司设计自己的方法来应对它也就不足为奇了。 Webroot SecureAnywhere AntiVirus中的所有恶意软件检测均基于行为,而不仅仅是勒索软件检测。 防病毒软件会立即清除与现有恶意软件行为配置文件匹配的所有进程。 如果不是100%清楚可疑进程是恶意的,Webroot会记录其本地操作并虚拟化所有不可逆操作,例如通过Internet发送信息。 当其基于云的分析以后将该可疑进程识别为恶意软件时,本地客户端将使用日记数据来逆转该进程的所有操作,包括逆转勒索软件执行的加密操作。
您必须购买完整的Panda Internet Security套件才能从Panda获得勒索软件保护; 独立的防病毒软件不包含Data Shield组件。 Data Shield旨在保护您的贵重文档,防止所有未经授权的访问,因此,勒索软件无法加密您的文件,而特洛伊木马程序也无法窃取您的数据。 如果熊猫检测到任何未经授权的程序进行访问尝试,它将询问您是否允许它。 当然,您将授予您刚安装的新文字处理器的权限,但是如果请求突然出现,请拒绝!
趋势科技防病毒+安全和Avast Internet Security等其他产品可通过防止未经授权的文件修改来阻止勒索软件。 但是,它们不会像熊猫那样阻止只读访问。
在专门设计用来对抗恶意软件的工具领域中,几乎所有工具都使用基于行为的检测。 Bitdefender反勒索软件是一个例外。 它通过破坏勒索软件自身的技术来避免双重加密,从而为系统“接种疫苗”,因此勒索软件认为它已经完成了工作。
Check Point ZoneAlarm Anti-Ransomware补充了一种基于行为的检测系统,该系统可以恢复在启动检测之前可能已加密的所有文件。在测试中,它做得很好,甚至消除了分散的赎金记录。
借助Acronis Ransomware Protection,您可以为敏感文件获得5GB的云存储空间。 如果勒索软件在检测之前对一个或两个文件进行了加密,则Acronis只会从其受保护的备份中还原。 如果证明5GB容量不足,则可以随时升级到公司的Acronis True Image备份服务,该服务自然包含反勒索软件组件。
趋势科技RansomBuster全力以赴,在多个方面与勒索软件作斗争。 它的Folder Shield阻止对敏感文件的修改,它使用基于行为的检测,并在必要时从安全存储中恢复文件。 但是,当我关闭Folder Shield进行测试时,基于行为的检测错过了几个样本。
吊带和腰带
顾名思义,RansomFree是免费的,当我们使用真实的,讨厌的勒索软件对其进行测试时,它确实提供了约门服务。 它绝不是一个通用的解决方案,但它是对通用恶意软件保护实用程序的一个有价值的补充。 我已经将其安装在主生产PC上,建议您考虑添加它或其他免费的勒索软件保护实用程序,以补充全面的防病毒保护。
Check Point ZoneAlarm反勒索软件是特定于勒索软件的安全性的编辑选择。 虽然它不是免费的,但也不昂贵。 它可以防止所有勒索软件样本和必要时恢复的文件,而无需在系统中散布诱饵文件。
