目录:
视频: RansomStopper by CyberSight (十月 2024)
勒索软件防护
当RansomStopper检测到勒索软件攻击时,它终止有问题的进程并在通知区域弹出警告。 单击警告可以查看导致问题的文件。 有一个选项可以从阻止的进程列表中删除程序,同时警告说这样做是个坏主意。
等待检测勒索软件行为有时可能意味着勒索软件在终止之前会加密一些文件。 当我测试Malwarebytes时,它确实以这种方式丢失了一些文件。 Check Point ZoneAlarm反勒索软件会主动恢复所有加密文件。 在我的测试中,它对每个勒索软件样本都是如此。 但是,RansomStopper停止了相同的样本,但不允许加密任何文件。
为了快速进行健全性检查,我启动了一个我自己编写的简单的假勒索软件程序。 它所做的只是在Documents文件夹中及其下方查找文本文件并对其进行加密。 它使用简单的可逆密码,因此第二轮运行将还原文件。 RansomStopper抓住了它并阻止了它的嘲弄。 到现在为止还挺好。
注意,实时勒索软件
测试基于行为的勒索软件保护的唯一确定的方法是使用实时勒索软件。 我非常谨慎地执行此操作,将我的虚拟机测试系统与所有共享文件夹和Internet隔离开来。
如果反勒索软件产品未能通过检测,则此测试可能会令人痛苦,但是我的RansomStopper测试进行得很顺利。 像ZoneAlarm和Malwarebytes一样,RansomStopper捕获了所有样本,在进行行为检测之前,我没有发现任何加密的文件。Cybereason RansomFree的表现不错,但错过了一个。
我还使用KnowBe4的RanSim(一个可模拟10种勒索软件攻击的实用程序)进行测试。 该测试的成功是有用的信息,但是失败仅表示基于行为的检测正确地确定了仿真不是真正的勒索软件。 与RansomFree一样,RansomStopper忽略了模拟。
开机时危险已解决
对于勒索软件而言,保持警惕是一件大事。 在可能的情况下,它会默默地执行其恶意行为,仅在加密文件后才提出赎金要求。 拥有管理员特权可以使勒索软件的工作更加轻松,但是要达到这一点通常需要用户的许可。 有一些变通方法可以静默获得这些特权。 这些措施包括安排在引导时背负Winlogon进程,或为引导时设置计划任务。 通常,勒索软件只是安排在引导时启动,然后强制重新引导,而不执行任何加密任务。
在我较早的测试中,我发现勒索软件可以在启动RansomStopper之前的引导时间对文件进行加密。 它加密了Documents文件夹中及其下方的所有文本文件,包括RansomStopper的诱饵文本文件。 (是的,这些文件位于RansomStopper主动隐藏的文件夹中,但是我有我的方法……)它还错过了我设置为在启动时启动的真实勒索软件示例。
CyberSight的设计师针对此问题测试了许多解决方案,并发布了一个新版本,该版本领先于引导时勒索软件。 我测试过了 它有效,消除了RansomStopper现在英镑测试结果上的一个污点。
RansomFree作为服务运行,因此它在任何常规过程之前都处于活动状态。 当我执行相同的测试时,将真实的勒索软件样本设置为在启动时启动,RansomFree也抓住了它。 恶意软件字节也通过了此测试。 RansomBuster检测到启动时攻击并恢复了受影响的文件。
为了进一步探讨这个问题,我获得了今年早些时候引起麻烦的Petya勒索软件的样本。 这种特殊的应变使系统崩溃,然后通过CHKDSK模拟启动时修复。 它实际上是在对硬盘进行加密。 Malwarebytes,RansomFree和RansomBuster均未能阻止此攻击。 RansomStopper在它引起系统崩溃之前就抓住了它,令人印象深刻! ZoneAlarm还阻止了Petya的攻击。 公平地说,这不是典型的文件加密勒索软件。 而是通过加密硬盘驱动器来锁定整个系统。
在查询我的联系人时,我确实了解到启动时勒索软件攻击(包括Petya)正变得越来越少。 即使这样,我还是将此测试添加到了我的曲目中。
其他技术
如果正确实施基于行为的检测,则是抵御勒索软件的绝佳方法。 但是,这不是唯一的方法。 趋势科技RansomBuster和Bitdefender Antivirus Plus通过控制文件访问来阻止勒索软件。 它们可防止不受信任的程序对受保护的文件夹中的文件进行任何更改。 如果不受信任的程序尝试修改您的文件,则会收到通知。 通常,您可以选择将未知程序添加到可信列表中。 如果被阻止的程序是您的新文本或图片编辑器,那将很方便。 Panda Internet Security的工作范围更广,可以防止不受信任的程序甚至从受保护的文件中读取数据。
勒索软件骗子需要注意,当受害者付款时,它们将能够解密文件。 多次加密文件可能会影响恢复,因此大多数文件都包含某种标记,以防止再次攻击。 Bitdefender反勒索软件利用该技术欺骗特定的勒索软件系列,使其认为他们已经攻击了您。 但是请注意,这种技术对全新的勒索软件类型无能为力。
当Webroot SecureAnywhere AntiVirus遇到未知进程时,它将开始记录该进程的所有活动,并将数据发送到云进行分析。 如果该过程证明是恶意软件,则Webroot会回滚它所做的一切,甚至回滚勒索软件活动。 ZoneAlarm和RansomBuster具有自己的恢复文件的方法。 当Acronis True Image的反勒索软件组件阻止了勒索软件攻击时,如有必要,它可以从自己的安全备份中还原加密文件。
现在是赢家
CyberSight RansomStopper在不丢失任何文件的情况下检测并阻止了我所有的现实勒索软件样本。 它还检测到我简单的手工编码勒索软件模拟器。 而且它阻止了Petya的攻击,在该攻击中一些竞争产品失败了。
此前,RansomStopper展示了一种仅在引导时运行的勒索软件漏洞,但我的消息人士说,这种类型的攻击正变得越来越少,CyberSight已修复了该问题。 其他免费产品都有其自身的问题。 RansomFree错过了一个真实的示例,而Malwarebytes则使另一个示例在开始检测之前不可逆地加密了几个文件。RansomBuster表现得更糟,完全丢失了一半的示例(尽管其Folder Shield组件保护了大多数文件)。
RansomStopper和Check Point ZoneAlarm Anti-Ransomware是我们提供专用勒索软件保护的首选。 ZoneAlarm不是免费的,但是每月2.99美元的价格也不是那么昂贵。 尽管如此,RansomStopper仍可免费管理全面保护。
