目录:
最近的BadRabbit勒索软件爆发主要影响了俄罗斯及其附近地区的人们,而对美国影响不大,但不要让您沾沾自喜。 谁知道下一次攻击将在何处发生? 您需要针对勒索软件的防护,而您的防病毒软件可能还不够。 趋势科技RansomBuster提供了多层保护,个人和企业均可免费使用。 但是,我们的测试表明,这些层并非都同样有效。
RansomBuster可免费下载,它也是趋势科技防病毒和安全套件产品的组件。 同样,独立的Cybereason RansomFree也是Cybereason全面安全套件的组成部分。
像RansomFree和Malwarebytes Anti-Ransomware Beta(也是免费的)一样,RansomBuster也可以与标准防病毒软件一起使用。 这两种产品都专注于根据其行为检测勒索软件。 正如我将解释的那样,RansomFree将诱饵文件散布在重要位置,以帮助对其进行检测。 RansomBuster还包括基于行为的检测,但这只是其技能之一。
如果RansomBuster甚至检测到勒索软件活动的可能性很小,它就会对受影响的文件进行安全备份。 在确定可能性的时候,它将终止勒索软件,并使用备份还原在其分析期间受影响的所有文件。 Check Point ZoneAlarm反勒索软件以类似的方式还原受影响的文件。
防止勒索软件对Documents文件夹(或其他敏感文件夹)中的文件进行加密的一种非常简单的方法是,简单地禁止未经授权的程序进行所有修改。 您可以像往常一样使用受信任的文字处理器或图像编辑器,但是Folder Shield组件可阻止任何未知程序的访问。 Bitdefender Antivirus Plus包含类似的功能,而Panda Internet Security甚至禁止未知文件读取文件。
RansomBuster入门
安装快速简便。 安装后,程序会提示您选择要保护的文件夹。 默认情况下会预先选择“文档”文件夹,但不要添加更多文件夹。 您将很快了解到,该免费版本只能保护两个文件夹。 起初这似乎是一个主要限制。 后来,我意识到只需选择C:\ Users文件夹即可保护大多数重要文档。
选择这些文件夹是唯一的配置选项。 这是一个非常简单,专注的程序。 做出选择后,RansomBuster便会在后台运行,除非遇到攻击,否则无需进行进一步的交互。
测试文件夹盾
为了进行快速检查,我启动了一个自己编写的微型文本编辑器。 该程序不存在,但在我的测试PC上不存在,因此它肯定可以视为未知程序。 我试图修改“文档”文件夹中的一些文本文件。 RansomBuster相当正确地报告了未经授权的访问,使我可以选择阻止该访问或将程序添加到受信任列表。 片刻之后,它会自动选择阻止选项。 当我尝试一个简单的手工编码程序来模拟加密勒索软件行为时,也会发生同样的事情。
接下来,我展示了强大的工具-六个真实的勒索软件样本。 最初,情况看起来不错。 Folder Shield阻止了五个样本,而基于行为的检测捕获了第六个样本,甚至没有触发Folder Shield的反应。 我确实观察到,如果您不小心选择信任一个事实证明是勒索软件的程序,则基于行为的检测系统也会忽略它。 请仔细阅读这些通知,并仅信任您确定的程序。
仔细观察发现,事情并不完全是笨拙的。 其中一个勒索软件样本在被Folder Shield捕获之前,已对Desktop文件夹中的文件进行了加密,因为该Desktop不受保护。 另一个加密了Desktop文件夹中和下方的十几个文件,并在其中几个中删除了赎金记录。 我确实观察到受影响的文件是最不重要的类型。 它们包括快捷方式,帮助文件,日志文件和几个CSV文件。 我在趋势科技的联系人确认,这些类型不在基于行为的检测系统跟踪的近40种文件类型中。
测试基于行为的检测
Folder Shield只能保护两个文件夹的内容,但是基于行为的检测系统旨在标记类似勒索软件的行为,无论其发生在何处。 对于特定于基于行为的检测的测试,我禁用了Folder Shield,并重复了我的真实勒索软件测试。 结果不佳。
RansomBuster抓取了六个样本中的三个。 它称其中一个可疑,并在采取任何邪恶行动之前将其终止。 它确定另外两个为勒索软件,列出了已加密的文件,并报告成功恢复。
但是,其他三个样本运行猖, ,左右加密文件并显示其赎金记录,而这一切都没有从RansomBuster窥探到。 用这些相同的样本进行测试,ZoneAlarm检测到所有六个文件并恢复了所有文件。 ZoneAlarm唯一的错误? 在一种情况下,它报告说它未能还原所有文件,而实际上并没有失败。
Acronis True Image中内置的勒索软件保护检测到了其中一个样本,但检测到了所有样本,并从其安全的在线备份中恢复了所有受影响的文件。 RansomFree还检测到了除一个以外的所有内容。 恶意软件字节可以全部检测到它们,但在一种情况下,勒索软件会先加密一些文件,然后将其中和。
混合结果
我赞赏趋势科技免费提供RansomBuster的事实。 我只是希望它能更好地工作。 Folder Shield很有效,但是在测试基于行为的检测时效果不佳。 如果您是趋势科技的忠实粉丝,可以考虑一下。 但是,如果您是趋势科技的忠实粉丝,则您的防病毒或安全套件中可能已经具有此保护功能。
勒索软件保护的编辑选择是ZoneAlarm反勒索软件。 它不是免费的,但以每月2.99美元的价格,它不会让银行破产,并且可以成功地抵御我们所有现实世界中的勒索软件样本。 免费的Malwarebytes Anti-Ransomware Beta也检测到所有样本,尽管它丢失了几个要加密的文件,Cybereason RansomFree成功检测并阻止了除一个以外的所有文件。 如果您想增强勒索软件的保护范围,而不是杀毒软件内置的功能,则最好使用这些实用程序之一。
