目录:
视频: ä¸è¦å²ç¬æåçæ§ (十月 2024)
当然,勒索软件对个人来说是头疼的事-谁想失去您在这本伟大的美国小说上的所有进步? 但是,想象一下,对于企业而言,情况更糟,当勒索软件锁定生产时,企业每小时可能损失100, 000美元(或更多)。 高端企业安全系统需要强大的防范勒索软件的保护,并且此类系统的提供者有时会在个人级别提供这种保护。 免费的Heilig Defense RansomOff就是这种情况,它使用了从高端Hielig Defense Correlate借来的技术。
Cybereason RansomFree以类似的方式封装了Cybreason企业级产品中的勒索软件保护。 但是,在RansomFree,RansomStopper和大多数其他特定于勒索软件的免费工具将设置和用户交互降低到最低限度的情况下,RansomOff包含了多种模式和模块,有时甚至使我感到困惑。
RansomOff是一个很小的下载,并且安装迅速。 默认情况下,它以简单模式运行,称为“无忧防护”。 您还可以选择高级模式以“释放RansomOff的全部潜能”。 我在测试中同时使用了这两种模式,如下所示。
简单模式
在默认的简单模式下,RansomOff完全在后台处理业务,除了通知区域图标的简短动画外,没有通知它已终止威胁。 双击该图标时,它将显示一个带有按钮的小窗口,用于查看警报并切换到高级模式。
在此模式下,RansomOff终止勒索软件,但不尝试清除。 双击图标,然后单击“查看警报”,始终可以看到它的作用。 警报列表包括未决的清理操作,您可以手动启动它们。
在测试中,它检测到并终止了我所有的真实勒索软件样本。 我观察了动画图标,检查了警报,并要求在每种情况下进行清理。 但是,只有不到一半的样本触发了“检测到勒索软件”警报。 对于其他情况,它报告了HIPS-Lite Notification,告诉我有问题的程序试图将其自身配置为在启动时启动。
作为健全性检查,我从要维护的集合中运行了一些实用程序以进行误报测试,选择功能需要它们在启动时启动的实用程序。 在每种情况下,RansomOff都消除了这些完全合法的程序。 在其他特定于勒索软件的实用程序中,我还没有观察到这种行为。 鉴于HPS-Lite功能消除了合法程序和恶意程序,我很难称其为勒索软件检测。
高级模式
为了进一步研究,我将RansomOff切换为“高级模式”并重复了测试。 在这种模式下,程序的行为是非常不同的。 在检测到勒索软件后,它会在屏幕上显示一个无法忽视的警告,要求您允许处理该问题。 您可以在决定之前单击以获取更多详细信息。 如果它检测到启动顺序的修改或其他可疑的操作,它将弹出一条不太明显的HIPS-Lite通知,并询问是否允许或阻止更改。
我再次浏览了样本,在任何HIPS-Lite警告中选择“阻止”。 结果类似于我在简单模式下看到的,但有一个明显的例外。 可能由于显示通知所涉及的延迟,RansomOff允许一个示例在清除文档之前对Documents文件夹中的文件进行加密。 我试了几次,以防万一这是fl幸。 并非每次都发生,但是绝对可以重复。
接下来,我重试了触发HIPS-Lite警告的示例,选择“允许这次”。 那是一场灾难。 告诉RansomOff允许启动修改也导致它停止监视勒索软件活动。 我在Heilig Defense的联系人解释说:“我们的看法是,这一过程被认为是在做某件事,而用户则选择了一种方法。” “毕竟,用户应该比软件更聪明,或者至少要使他们在允许它使用之前多思考一点。”
我不同意 我认为,将关键决策权掌握在普通用户手中的安全软件是一个错误。 就像旧的个人防火墙模型一样,该模型使用户对是否应允许每个程序访问网络的所有决定负责。 其他勒索软件防护工具可以在不涉及用户决定的情况下完成此工作。
为了清楚地了解程序的功能,我关闭了HIPS-Lite功能,并重复了一次测试。 这次,该产品在所有样本中检测到并阻止了勒索软件的行为,结果非常令人满意。 但是,一个麻烦的示例在RansomOff重击文件之前仍然设法加密文件。
进一步测试
我偶尔遇到安全程序,这些程序在启动时启动勒索软件会失败。 我很高兴地说RansomOff不是其中之一。 当我手动设置几个示例以在Windows启动时启动时,它有效地阻止了它们。
为了进行非常基本的健全性检查,我编写了一个小程序,该程序使用可逆XOR加密对Documents文件夹中的所有文本文件进行加密。 许多勒索软件防护实用程序不会检测到此程序,因为没有实际的勒索软件会以这种简单的方式进行加密。 但是RansomOff抓住了它。
我还从KnowBe4加载了RanSim勒索软件模拟器。 该工具模拟了实际勒索软件使用的10种技术,以及两次无害的加密活动。 在简单模式下,我什至无法安装它,因为RansomOff清除了它。 在HIPS-Lite关闭的情况下在“高级模式”下再次尝试,我成功进行了安装。
当测试实用程序运行其场景时,我响应了RansomOff的11条检测警告。 在测试结束时,RanSim报告成功阻止了所有10种模拟勒索软件活动以及一种无害的情况。 Acronis Ransomware Protection的得分完全相同。 阻止所有10种模拟攻击是一大优势; 一个误报是一个小减号。
花式勒索软件保护功能
我习惯于使用勒索软件保护工具,这些工具是如此引人注目,它们几乎没有主窗口,有时甚至根本没有配置设置。 高级模式下的RansomOff是一个很大的偏离,它具有一些精美的功能,我只有深入研究文档才能了解。
应用锁定
App Lockdown是基于白名单的保护系统,默认情况下处于禁用状态,具有多种操作模式。 在严格的“所有进程”模式下,除非已被豁免,否则您必须确定启动的每个进程。 松开到“新进程”模式,RansomOff仅在Windows会话期间第一次运行进程时要求进行验证。 您可以通过免除Windows进程和/或数字签名的程序文件来减少弹出窗口。
我在“所有进程”模式下打开了“应用锁定”,然后启动了Chrome。 我必须确定五个不同的流程,但是在随后的启动中,这些流程被豁免了。 精通技术的用户可以将App Lockdown配置为在加载指定的进程时自动激活,并有选择地在该进程关闭时停用。 Web Lockdown预设将App Lockdown配置为在激活浏览器窗口时激活,就像VoodooSoft VoodooShield的工作方式一样。
备份还原
默认情况下启用的“备份和还原”功能旨在备份受威胁的文件,并在必要时在勒索软件活动后将其还原。 根据文档,“ RansomOff将根据某些操作复制文件,并将其保存在受保护的空间中。” 它提供了多种还原方法,其中包括选择一个过程来还原所做的更改并搜索需要还原的文件,以及取消删除RansomOff可能已错误删除文件的选项。 在测试中,我从未真正看到过此功能。 那个讨厌的勒索软件样本对我的文档进行加密并没有帮助。
Check Point ZoneAlarm反勒索软件中的还原功能被证明既简单又有效。 在每种情况下,它都提供了还原任何加密文件的方法,并且还原成功。 测试中唯一的错误是在实际成功时报告一次失败。
Acronis Ransomware Protection采用了另一种备份方法。 它为受保护的文件夹中的文件创建了加密的云备份,价值高达5GB,并在消除威胁后恢复了勒索软件损坏的所有文件。
文件夹保护
单击文件夹会为您指定的文件夹显示RansomOff基于权限的保护。 像Bitdefender Antivirus Plus,趋势科技和其他一些软件一样,它可以防止未经授权的程序修改文件,但是它提供了其他几种选择。 您可以让它拒绝对受保护文件夹中文件的所有访问,隐藏那些文件的存在,或阻止从受保护位置启动可执行文件。 这最后一个功能对于防止诸如TeslaCrypt之类的威胁很有用,该威胁将一个随机命名的可执行文件拖放到Documents文件夹中并启动它。
令人困惑的是,您通过将文件夹添加到五个不同的列表之一来管理保护:拒绝,欺骗,隐藏,只读和不执行。 一个文件夹一次只能占据这些列表之一。 首先,我将“文档”文件夹添加到“拒绝”列表中。 这应该拒绝对受保护文件的读写访问,例如Panda Internet Security中的类似功能。 但是,它并不能阻止我编写的一个小的编辑器读取和修改文件。
事实证明,我没有给予足够的重视。 屏幕在我选择的文件夹下清楚地显示“未启用保护”。 您还必须添加至少一个豁免应用程序,然后RansomOff才能开始对其进行保护。 我将Windows资源管理器添加到了豁免列表,以启用保护。 在那之后,Documents文件夹甚至没有出现在我的小编辑器的打开文件对话框中。
我选择了“更改保护”,并将受保护的文件夹移动到“只读”列表中。 这次,我的微型编辑器成功地从受保护的文件夹中加载了一个文本文件,但是尝试保存修改后的版本却收到一条消息,提示“流写入错误”。 真令人失望。 趋势科技RansomBuster和其他几个类似程序会报告尝试的访问权限,并使您有机会将应用程序列入白名单。 当您刚安装了新文档或照片编辑器时,此时可以轻松将其列入白名单。
在试用小型编辑器的过程中,我发现Documents文件夹中的许多文件根本没有出现在Windows资源管理器中。 确实,像RansomFree和CyberSight RansomStopper一样,RansomOff使用“诱饵”文件来辅助其检测。 它通常像RansomStopper一样将它们隐藏起来,但在某些情况下确实会出现。
需要调整
大多数特定于勒索软件的保护实用程序都经过了简化,可以安静地执行其工作,几乎不需要用户交互或配置。 在现有的防病毒保护功能旁边安装这样的工具可为您提供一个简单的辅助保护层。 RansomOff比其他任何竞争对手都要复杂得多,其高级设置和功能在没有彻底阅读文档的情况下令人困惑。 在测试中,它检测到了所有勒索软件样本,但是尽管其中有一个检测到,但还是让其中一个加密了文件。
技术人员可能会喜欢它,但是目前,对于普通用户而言,它 太 复杂了。 乐观的是,开发人员可以快速解决任何问题,甚至可以在我审核期间更新程序来解决几个问题。 我期待一个版本不需要那么多的普通用户。
Check Point ZoneAlarm反勒索软件具有更简单的界面和出色的恢复能力,是勒索软件保护的编辑选择。 如果您不打算再购买其他安全工具,则CyberSight RansomStopper是免费的,它也是该领域的编辑选择。
