目录:
功能齐全的防病毒实用程序可能会很好地保持PC免受恶意软件侵害。 但是,没有人能做到完美无缺,因此全新的病毒或特洛伊木马有时可能会超越实时保护。 即使那样,防病毒更新通常也可以很快消除这种情况。 但是,如果绕过的威胁是对勒索软件进行加密,那么您将遇到麻烦。 当然,更新后的防病毒软件可以删除有问题的程序,但是损坏已经完成。 您的文件保持加密状态,无法访问。 Malwarebytes Anti-Ransomware Beta旨在通过捕获您的防病毒软件遗漏的任何勒索软件来减轻您的痛苦。
不要因为名称中的“ beta”而回避。 该免费产品永久处于beta测试状态,可接收Malwarebytes提供的所有最新的勒索软件对抗技术。 后来,当所有问题得以解决后,该公司将该技术转移到了商业Malwarebytes反勒索软件商业版中。 这使IT团队感到满意,他们通常更喜欢较老的技术而不是前沿技术。
自然,您可以在公司的全面防病毒替代软件Malwarebytes 3.0 Premium中获得勒索软件保护。 独立的勒索软件防护产品可与您现有的防病毒软件一起使用,以捕获主要防病毒软件遗漏的所有内容。
勒索软件保护样式
安全产品实现勒索软件保护的方式有很多种。 一种方法涉及控制对受保护位置和/或受保护文件类型的访问。 诸如Windows组件和Office程序之类的已知好的程序获得了绿灯。 当未知应用尝试访问时,安全产品会警告用户可能的勒索软件攻击。 如果它只是一个新的文档编辑器,则用户可以单击一下将其列入白名单。 如果是勒索软件,则再次单击将其发送到隔离区。
有些产品只是阻止更改受保护的文件。 包括IObit Malware Fighter 5 Pro和Panda Internet Security在内的其他软件甚至可以防止未经授权从受保护的文件中读取数据。 这种保护措施还可以防止窃取数据的木马窃取您的私人数据。
可以想象,一个棘手的勒索软件进程可能会通过颠覆列入白名单的程序来完成其肮脏的事,或者找到其他解决访问限制的方法。 即使发生这种情况,基于其行为检测勒索软件的产品仍然可以阻止攻击。 这就是Malwarebytes反勒索软件的工作方式。 Cybereason RansomFree采取了类似的方法。
您还将在各种标准的防病毒产品中找到特定于勒索软件的保护层。 Bitdefender和趋势科技均包含此类组件。 通过Webroot SecureAnywhere AntiVirus进行的恶意软件检测完全基于行为,并且该工具针对未知程序的日记和回滚系统实际上可以逆转勒索软件攻击。 该公司确实警告说,可用于日记和回滚的空间是有限的。
Malwarebytes入门
Malwarebytes Anti-Ransomware是一个很小巧的轻量级程序,可以立即安装。 它的简单主窗口只有三个选项卡:“仪表板”,“隔离”和“排除”。 仪表板仅确认保护处于活动状态,它提供了一个链接以关闭和打开保护。 除非产品阻止实际的勒索软件攻击,否则您不会在隔离区看到任何东西。
为什么要从检测中排除文件? 嗯,这是一个beta产品,可以想象,合法的加密产品可能会陷入其网络。 如果您遇到这样的误报,只需将其从隔离区中拯救出来,然后将其放入排除列表中即可。
测试勒索软件防护
测试勒索软件防护比测试通用恶意软件防护更难。 恶意程序本身有时会监视测试的迹象,并且处于低位。 另一方面,如果您对真实的勒索软件样本不小心,它们可能会逃脱虚拟机的牢狱之灾,并造成实际损失。
通过控制对文件的访问而起作用的Panda Internet Security之类的产品易于测试。 我有一些很小的测试程序就可以实现这种保护。
但是,有了基于行为的保护,有时候我唯一的办法就是在精心控制的环境中使用真正的勒索软件。 我的勒索软件测试仍在不断发展。 目前,我有三个真实的样本,这些威胁是我从危险的网站收集来的。 在我的动手测试中,Malwarebytes做得很好。
第一个勒索软件样本是喜怒无常的。 通常,它只是作为后台进程运行而无需执行任何操作。 没有行为,就不会有基于行为的检测,因此Malwarebytes可以通过此行为。
Malwarebytes抓住了第二个人,对其进行了隔离,并要求重新启动以完成其清理。 重新启动后,我观察到在通过Malwarebytes进行行为分析期间,勒索软件设法对多个文件进行加密。 在我看来,这似乎是基于行为的检测的自然结果。 没有勒索软件的行为,就不会被发现,对吗? 但是,我在恶意软件字节处的联系人说,他们“正在接近解决这一问题”。
第三个样本也成为Malwarebytes的猎物。 重新启动后,我想了一下勒索软件仍在运行,因为它以文本文件,HTML文档和PNG图像的形式显示了勒索软件的需求。 但是事实证明,勒索软件只是将这些文件转储到启动文件夹中,因此它们会在启动时打开。 没有恶意软件应用程序本身的痕迹。 再次,恶意软件在启动保护之前先加密了多个文件。
模拟勒索软件
测试基于行为的勒索软件检测的唯一完全可靠的方法是使用实际的勒索软件。 任何完全复制加密勒索软件威胁活动的模拟本身就是恶意软件。 但是,这没有理由完全取消使用模拟勒索软件的测试。
安全培训公司KnowBe4已发布了一个名为RanSim的免费工具,旨在测试您的勒索软件保护。 它运行的模块实现了十种常见的加密勒索软件技术,以及两种相似但无害的技术。 从理论上讲,最好的产品将阻止所有勒索软件技术,而将无害的技术置于一身。
当我测试Acronis True Image 2017 New Generation中内置的主动勒索软件保护时,它阻止了除一种模拟攻击之外的所有攻击。 当然,完全备份可以防止未经授权的更改,这对从恶意软件攻击中恢复很有帮助。
RansomFree没有检测到任何模拟攻击。 它的设计者指出,模拟攻击仅影响Documents文件夹下几个文件夹级别的文件,而没有其他影响。 现实世界中没有勒索软件会表现出这种行为。
至于Malwarebytes,它积极防御了10种模拟攻击中的8种,但却错过了2种。 由于使用模拟勒索软件存在问题,因此当产品检测到RanSim的模块时,我认为它是一个加号,但我将RanSim失败视为无效的信息,而不是负面的信息。
添加到您的武器库
在我的简单动手测试中,Malwarebytes Anti-Ransomware Beta表现出色。 当然,一些勒索软件会加密一些文件,但是如果没有保护,它的安全性能将大大恶化。 勒索软件的保护必然是分层的问题。 一个组件错过了什么,另一个组件可能会抓住。 我已经将Norwarebytes和Norton Internet Security和Cybereason RansomFree一起添加到了保护我的主要生产系统的实用工具库中。
