Cryptodrop ومكافحة رانسومواري مراجعة وتقييم

إن المبرمجين الشائنين الذين ينشئون برامج ضارة هم من أجل المال ، بطريقة أو بأخرى. يختطف عمال مناجم بيتكوين دورات CPU و GPU لإثراء منشئيهم سراً. أحصنة طروادة تتظاهر بأنها برامج مفيدة ، لكن سرقة بيانات بطاقة الائتمان الخاصة بك سراً. Ransomware هو الاستيلاء المباشر على المال. يقوم بتشفير الملفات الهامة الخاصة بك ، مما يجعلها عديمة الفائدة بالنسبة لك ، ويطالبك بدفع فدية لمفتاح فك التشفير. إذا مرت Ransomware على برنامج مكافحة الفيروسات ، فأنت في ورطة. هذا هو السبب في أنه من المنطقي أن تكمل برامج مكافحة الفيروسات العادية الخاصة بك باستخدام أداة خاصة بفدية الفدية مثل CryptoDrop Anti-Ransomware. هذه الأداة على حد سواء بالكشف عن رانسومواري على أساس سلوكها واستعادة أي ملفات مشفرة قبل الكشف. هو جيد في الاختبار ، مع بعض الكرات الطفيفة.

مقابل 29.99 دولارًا سنويًا ، يمكنك تثبيت CryptoDrop على ثلاثة أجهزة كمبيوتر. بالنسبة لجهاز كمبيوتر واحد ، يمكنك اختيار دفع 2.99 دولار شهريًا أو 19.99 دولارًا سنويًا. هناك أيضًا إصدار مجاني ، لكن حمايته تغطي مجلد المستندات فقط ، ويفتقر إلى خيار الاسترداد. لاحظ أن حماية Acronis Ransomware و RansomFree و Malwarebytes و Trend Micro توفر الكشف القائم على السلوك دون أي تكلفة ؛ يشمل Trend Micro و Acronis أيضًا استرداد الملفات.

بدء التشغيل والإعدادات

كما هو الحال مع العديد من المنتجات المماثلة ، تحتاج إلى إعادة التشغيل بعد التثبيت السريع والبسيط. يتم تثبيت المنتج في الوضع الحر في البداية. يمكنك النقر فوق ارتباط لشراء المنتج الكامل ، أو التنشيط باستخدام حساب CryptoDrop ومفتاح الترخيص. بمجرد تثبيت المنتج وتنشيطه ، تعرض مؤشرات الحالة للكشف والاسترداد دائرة خضراء.

لقد تأثرت قليلاً بسبب سلوك فردي واحد يتعلق بتلك المؤشرات. في كل مرة أقوم فيها بفتح النافذة الرئيسية ، عرضت هذه المؤشرات في البداية وبصورة حمراء تحذير. بعد ثانية ، تحولوا إلى اللون الأخضر. لا يوجد أي ضرر في ذلك ، لكنه يشعر بالضيق.

عند النقر فوق الزر "خيارات" ، تحصل على قائمة بالمواقع المحمية. تتضمن هذه الملفات في البداية مجلدات المستندات والموسيقى والصور والفيديو لكل حساب مستخدم ، بما في ذلك جميع المستخدمين والعامة. يوجد خطأ معروف (لكن غير ضار) في الإصدار الحالي يظهر مجلد الصور مرتين. أنصح بشدة بإضافة مجلد سطح المكتب لكل حساب وأي مجلد شخصي آخر تستخدمه للملفات الشخصية.

يعالج CryptoDrop استرداد الملفات عن طريق الاحتفاظ بنسخ من الملفات من المجلدات المحمية في مجلد خاص به. ولكن إذا نظرت إلى مجلد DropSafe هذا ، فلن ترى أي شيء ، ولن تظهر أي فدية قد تكون موجودة. باستخدام تقنية مشابهة لجذر الجذر ، تجعل CryptoDrop ملفات النسخ الاحتياطي غير مرئية للتطبيقات ونظام التشغيل.

افتراضيًا ، يحجز CryptoDrop 2 غيغابايت لـ DropSafe. إذا بدأت هذه المساحة بالملء ، فستحصل على تحذير ، وخيار لزيادة الحجم. يوفر Check Point ZoneAlarm Anti-Ransomware و Trend Micro و Acronis الكشف عن الفدية المستندة إلى السلوك واستعادة الملفات التي لا تقتصر على مجموعة محددة من المجلدات.

الكشف عن الفدية

لإجراء فحص عقلاني سريع ، قمت بتشغيل برنامج رانسومواري مزيف بسيط الفكر قمت بترميزه بنفسي. كل ما يفعله هو العثور على جميع الملفات النصية في مجلد "المستندات" وتشفيرها بشكل عكسي عن طريق قلب كل البتات في كل بايت ، والأصفار إلى تلك ، والأخرى إلى الأصفار.

في البداية ، بدا أن CryptoDrop لم تنجح. عند النظر عن كثب ، أدركت أنه لم يكن لدي سوى ملفين نصيين في مجلد "المستندات". يكتشف CryptoDrop "تعديل ملف كبير الحجم" ، ولم يتم تشفير ملفين فقط كتعديل جماعي. عندما حاولت مرة أخرى مع أكثر من عشرين ملفًا نصيًا ، التقط CryptoDrop النشاط ، وأوقف البرنامج ، وانتقل إلى وضع Lockdown ، مما جعل جميع الملفات للقراءة فقط مؤقتًا. كما أنه أنشأ قاعدة لحظر برنامج الاختبار دائمًا.

مع هذا الاختبار البسيط بعيدًا ، قمت بفحص عزل نظام اختبار الجهاز الظاهري عن الشبكة الفعلية وبدأت في إطلاق عينات برامج الفدية في العالم الحقيقي. في كل حالة ، اكتشف CryptoDrop التهديد ، وقتلته ، وانتقل إلى وضع تأمين.

أحيانًا أواجه أدوات حماية Ransomware التي يمكن إحباطها إذا تم تشغيل Ransomware عند بدء التشغيل ، قبل الأداة المساعدة anti-ransomware. فشل CyberSight RansomStopper في هذا الاختبار ، وكذلك فعلت حماية Ransomware في أحدث IObit Advanced SystemCare Ultimate. عندما قمت بتعيين إحدى عينات Ransomware لإطلاقها عند بدء التشغيل وإعادة التشغيل ، لم يكن لدى CryptoDrop مشكلة في الدفاع ضدها.

Ransomware Recovery

CryptoDrop فعلت بشكل جيد للغاية في الكشف عن الفدية. نجح مكون الاسترداد ، في الغالب ، لكن تنفيذه كان غير متساوٍ بعض الشيء.

كما ذكرنا ، يحتفظ CryptoDrop بنسخ احتياطية آمنة من ملفاتك في مجلد لا يمكن أن ترى محتوياته تطبيقات أخرى. عند النقر فوق Recover Files ، فإنه يعرض قائمة بالملفات التي تأثرت بهجوم Ransomware الأخير. امتلأت نافذة الاسترداد القصيرة والواسعة العرض بأكمله (1280 بكسل) لنظام الاختبار الخاص بي ، ولكنها لم تكن عالية بما يكفي لعرض عشرات الملفات. لكل ملف ، يعرض اسم المسار الكامل الأصلي ، واسم المسار للنسخ الاحتياطي المحمي ، وخاتم التاريخ / الوقت ، والعملية التي أضرت بالنص الأصلي. لأي سبب من الأسباب ، فإنه يعرض أسماء مسار الاسترداد في جميع الأحرف الاستهلالية ، مما يجعل للعرض الصعب القراءة.

من المهم مراجعة قائمة الملفات وتحديد الملفات التي تريد استردادها فقط. لقد وجدت أنه في معظم الحالات ، تضمنت هذه القائمة ملفات تم إنشاؤها بواسطة Ransomware ؛ أنت لا تريد استرداد تلك. بدلاً من استخدام مربعات الاختيار للتحديد ، يتطلب CryptoDrop منك Ctrl + النقر فوق كل عنصر تريد استرداده.

في كل حالة ، حدثت عملية الاسترداد الفعلية بسرعة ، وبقدر ما يمكنني معرفة ذلك ، استعادت جميع الملفات بشكل صحيح. في بعض الحالات ، على الرغم من ذلك ، فعلت أكثر من ذلك بقليل. على سبيل المثال ، نتج عن محاولة استرداد واحدة أربعة إصدارات لكل ملف. بالإضافة إلى المستند الذي تم استرداده بشكل صحيح والإصدار المشفر من بقايا الطعام ، كان هناك ملف يحمل نفس الاسم بدون امتداد ملف ، ونسخة أخرى بالملحق. يبدو أن الفوضى قليلا.

في حالة أخرى ، أكثر إثارة للقلق ، ظلت عملية رانسومواري قيد التشغيل بعد أن قام CryptoDrop بتعليقها. بينما كنت أعمل على عملية الاسترداد ، قام بتغيير سطح المكتب إلى ملاحظة فدية وعرض أيضًا طلب الفدية كملف HTML. لكي نكون منصفين ، لم يدير أي نشاط تشفير آخر ، ولكن يجب ألا يعمل الملف المعلق على الإطلاق.

القرص تشفير Ransomware

يعتبر File encryption ransomware من أكثر الأنواع شيوعًا ، لكن هناك بعض التهديدات التي تقوم بتشفير محرك whle ، مما يعني أن جهاز الكمبيوتر الخاص بك هو لبنة حتى تدفع الفدية. يقوم برنامج Petya ransomware الشهير بتزييف نظام يليه فحص القرص عند بدء التشغيل ، ولكن ما يفعله حقًا هو تشفير محرك الأقراص أثناء التظاهر للتحقق من ذلك.

مثل معظم أدوات حماية Ransomware ، يركز CryptoDrop على برامج تشفير الملفات ، وليس على نوع تشفير القرص بالكامل. لم يفعل شيئًا لوقف عينة بيتيا. المنتجات الوحيدة التي رأيتها تمنع بنجاح هجوم Petya هي Acronis و RansomStopper و Sophos Home Premium.

تقنيات أخرى

في حين أن الاكتشاف القائم على السلوك هو الميزة الأكثر شيوعًا في أدوات حماية برامج الحماية من الفدية ، فهي ليست التقنية الوحيدة التي يمكن أن تساعد. يحظر Bitdefender Antivirus Plus و Trend Micro RansomBuster وعدد قليل آخر تعديل الملفات المحمية بواسطة برامج غير مصرح بها. إذا تلقيت تحذيرًا منبثقًا تمامًا مثلما تطلق ، على سبيل المثال ، برنامج جديد لتحرير الصور ، فما عليك سوى النقر على القائمة البيضاء. إذا كان التحذير بمثابة مفاجأة ، فقم بحظر النشاط.

يعد Panda Internet Security و IObit Advanced SystemCare Ultimate من بين البرامج القليلة التي تمنع البرامج غير المصرح بها أيضًا من قراءة ملفاتك المحمية. هذا يعني أنهم يستطيعون إحباط سرقة أحصنة طروادة من البيانات أيضًا.

يحتاج رائد أعمال الفدية الناجح إلى التأكد من أن "العملاء" الذين يدفعون الفدية يمكنهم استرداد ملفاتهم. هذا يعني أنه يجب عليهم تجنب تشفير نفس النظام مرتين ، مما يعني أنهم بحاجة إلى تمييز الأنظمة المصابة بطريقة ما. تستخدم أداة Bitdefender Anti-Ransomware المجانية هذه الحقيقة "لتطعيم" أجهزة الكمبيوتر ضد هجمات الفدية المعروفة جدًا. إنه ببساطة يخدع المهاجم في التفكير في أنه قد تسبب بالفعل في الخراب.

الكشف القائم على السلوك له نقطة ضعف محتملة واحدة. قد يقوم تشفير الفدية بتشفير بعض الملفات على الأقل قبل بدء الخوارزمية السلوكية لإيقافها. فقدت كل من Malwarebytes و Cybereason RansomFree كليهما ملفات في الاختبار. لا يزال هذا أفضل من فقد جميع ملفاتك ، لكن نظام استرداد الملفات أفضل. في الاختبار ، قام ZoneAlarm بعمل مثالي من الانتعاش. كان الخطأ الوحيد هو إحدى الحالات التي نجح فيها الاسترداد ، لكنها أبلغت عن الفشل.

الوافد الجديد للاهتمام

CryptoDrop هي شركة جديدة نسبيا ، تأسست على التكنولوجيا التي أنشأها أساتذة علوم الكمبيوتر في جامعة فلوريدا. يحتوي على عدد قليل من الحواف التقريبية ، مثل العرض غير المألوف للملفات لاستردادها ، والضرب العرضي للملفات المستردة. في الاختبار ، منعت كل من رانسومواري العالم الحقيقي ورانسومواري المحاكاة ، على الرغم من أن برنامج رانسومواري واحد ظل قيد التشغيل بعد أن أبلغ CryptoDrop أنه مكبوت. وإنني أتطلع إلى إصدار مستقبلي مع البولندية أكثر قليلاً.

اختيار المحررين لدينا لحماية الفدية هو Check Point ZoneAlarm Anti-Ransomware. بسعر 2.99 دولار شهريًا لثلاث تراخيص ، لا يختلف سعره كثيرًا عن CryptoDrop's. في الاختبار ، اكتشفت جميع عينات Ransomware واستعادة الملفات التي تم تشفيرها من Ransomware بشكل نظيف. إذا كان هذا السعر المنخفض أكثر من اللازم ، فإن برنامج Acronis Ransomware Protection المجاني يجمع بين الكشف القائم على السلوك والنسخ الاحتياطي السحابي المشفر للملفات الحساسة.