جدول المحتويات:
فيديو: Cybereason RansomFree Review (اكتوبر 2024)
إذا أخفق برنامج مكافحة الفيروسات الخاص بك في الحصول على حصان طروادة الذي يسرق البيانات ، يمكنك الحصول على بطاقة ائتمان جديدة. إذا تخطى فيروس فعلي دفاعاته ، فيجب على أداة التنظيف القوية أن تعتني بالمشكلة. ولكن إذا فاتك برنامج مكافحة الفيروسات الخاص بك بهجوم فدية ، فقد تفقد جميع مستنداتك ، أو حتى تفقد الوصول إلى جهاز الكمبيوتر الخاص بك. هذا هو المكان الذي يأتي به Cybereason's RansomFree. تعمل الأداة المساعدة المجانية المخصصة لحماية الفيروسات الفدية إلى جانب برنامج مكافحة الفيروسات الموجود لديك. إنه يركز بنسبة 100 بالمائة على اكتشاف ومنع تفشي الفدية من خلال مراقبة السلوكيات الشائعة في هذه الهجمات. في الاختبار ، مع عينات البرامج الضارة سيئة في العالم الحقيقي ، فإنه يتم إنجاز المهمة.
حصل أعضاء فريق Cybereason على تدريبهم في وحدة النخبة 8200 التابعة لفيلق الاستخبارات الإسرائيلي ، وهو فريق مخصص للأمن السيبراني. قاموا بتقطيع أسنانهم على الهجمات الإلكترونية على المستوى العسكري ، وهم يقومون الآن بتزويد شركات كبرى بما في ذلك SoftBank و Vizio و Lockheed Martin بالدفاع المتطور. عندما بدأ وباء الفدية في تعريض المزيد من المستهلكين للخطر ، قرر المدير التنفيذي للشركة استخراج مكون الفدية من مجموعة أمان Cybereason الكاملة وإعطاء حماية الفدية للمستهلكين مجانًا. يمكن للشركات الصغيرة أيضًا استخدامه ؛ يجب أن تفكر الشركات الكبرى في خدمة Cybereason واسعة النطاق.
مباشرة بعد التثبيت ، يبدأ RansomFree حماية النظام الخاص بك من رانسومواري. يتم تشغيله في الخلفية ، ومراقبة السلوكيات الخاصة بفدية الفدية. كجزء من هذه العملية ، يقوم بإنشاء ملفات "الطعم" في مواقع رئيسية مثل سطح المكتب ومجلد المستندات. لا توجد توقيعات مكافحة الفيروسات. يعتمد RansomFree على الكشف المستند إلى السلوك.
هجوم الفدية
كان RansomFree من بين أول أدوات الأمان الخاصة بفدية Ransomware التي استعرضتها العام الماضي. في ذلك الوقت ، لم يكن لدي سوى بضع عينات من العالم الحقيقي ، بالإضافة إلى المتغيرات اليدوية المعدلة. لدي الآن نصف دزينة من العينات التي تغطي مختلف عائلات الفدية. RansomFree الكشف عن وحظرت كل منهم.
عندما تكتشف العملية التي تعمل مثل Ransomware ، تقوم RansomFree بتعليق تلك العملية وتعرض تحذيرًا كبيرًا. النقر فوق نعم لإنهاء العملية وتنظيف أي مشاكل. يمكنك أيضًا النقر فوق "لا" ، لكنني لا أوصي بذلك. هناك رابط لعرض جميع الملفات التي تم إنشاؤها أو تعديلها أو حذفها من خلال العملية المخالفة. عند مراجعة هذه المعلومات ، يمكن أن أرى ، على سبيل المثال ، أن أحد المهاجمين أنشأ ملفًا قابلاً للتنفيذ باسم عشوائي في مجلد "المستندات" ، وقام بتسليم التحكم إلى هذا البرنامج. آخر حذف وجوده على القرص بعد التحميل في الذاكرة.
في بعض الحالات ، ظهرت RansomFree مرتين أو حتى ثلاث مرات ؛ أنا دائما النقر فوق نعم. عند الانتهاء ، حذر من أن الفدية قد تكون تركت وراءها مذكرة فدية أو غيرها من المخلفات التي يجب عليك تنظيفها يدويًا. في الواقع ، لقد وجدت ملاحظات فدية في حالات زوجين.
لقد واجهت اثنين من المنتجات التي فشلت في منع هجوم الفدية التي بدأت عند بدء تشغيل Windows. مثال IObit Advanced SystemCare Ultimate ، كما هو الحال في CyberSight RansomStopper المجاني. عندما قمت بتكوين نموذج Ransomware لإطلاقه عند بدء التشغيل ، لم يكن لدى RansomFree مشكلة في اكتشافه وإنهائه.
لدي في متناول اليد ، محاكاة بسيطة رانسومواري ، برنامج كتبت نفسي. كل ما تفعله هو العثور على الملفات النصية في مجلد "المستندات" وتطبيق تشفير XOR عليها. تقلب هذه التقنية ببساطة كل البتات إلى الصفر وكل البتات صفر إلى واحد ؛ تطبيقه مرة الثانية فك تشفير الملف. لقد ثبت أن هذا بسيط للغاية بالنسبة لرانسوم فري لإشعاره ، وهو في الواقع ليس مدمرًا حقًا. لقد تجاهل عدد قليل من الأدوات المساعدة المنافسة الأخرى FakeCryptor ، ومن بينها Acronis و CryptoDrop Anti-Ransomware.
القرص تشفير Ransomware
أكثر أنواع رانسومواري شيوعًا يشفر الملفات الأساسية ، لكنه يترك الكمبيوتر يعمل. هذا منطقي تمامًا ، لأن الضحية تحتاج إلى الوصول إلى الإنترنت والكمبيوتر لدفع الفدية. ومع ذلك ، هناك نوع آخر أقل شيوعًا يقوم بتشفير القرص بالكامل ، وهو يقوم بخداع الجهاز بشكل فعال حتى تقوم بالدفع. Petans ransomware سيئة السمعة هي واحدة من هذا القبيل ، ولقد تمكنت من فخ عينة Petya.
أدوات حماية Ransomware المستندة إلى السلوك لا تحمي بالضرورة من هذا النوع من الهجوم. من بين المنتجات الأربعة الأخرى التي اختبرتها منذ الحصول على عينة Petya ، قام Acronis و RansomStopper بمنع هجوم Petya ، لكن Malwarebytes Anti-Ransomware Beta و CryptoDrop لم يفعلا ذلك.
قادني منشور مدونة Cybereason إلى الاعتقاد بأن RansomFree قد يوقف Petya. ومع ذلك ، عندما أطلقت نموذجي ، استمر في تعطل النظام وتشغيل إصلاح قرص منخفض المستوى في إعادة التشغيل. في الواقع ، كان تشفير القرص ، وليس إصلاحه. تجدر الإشارة إلى أن رانسومواري تشفير القرص أقل شيوعًا بكثير من نوع تشفير الملفات ، وأنه من المرجح أن يقوم برنامج مكافحة الفيروسات الخاص بك بالتقاطه قبل أن يؤدي إلى أي ضرر.
محاكاة رانسومواري اللغز
KnowBe4 هي شركة معروفة بتدريباتها في مجال مكافحة الخداع أكثر من المنتجات ، لكنها تقدم لعبة RanSim Ransomware Simulator المجانية. دون لمس أي من الملفات الثمينة الخاصة بك ، يحاكي RanSim تقنيات الفدية العشرة الأكثر شيوعًا ، بالإضافة إلى تقنيتين غير ضاميتين لا ينبغي أن تحجبهما حماية الفدية.
لقد قمت بتثبيت RanSim على نظام الاختبار وقمت بتشغيل تسلسلات الاختبار ، وكانت النتائج مخيبة للآمال. امتنعت RansomFree بشكل صحيح عن التدخل في السيناريوهين الايجابيين الخاطئين ، لكنها لم تفعل شيئًا لمنع سيناريوهات 10 رانسومواري.
بعد إجراء بعض عمليات الحفر والخدش والرأس مع كل من Cybereason و KnowBe4 ، فهمت المشكلة. يضع RanSim ملفات الاختبار الخاصة به في مجلدات داخل مجلدات ، أربعة مستويات أسفل مجلد المستندات. تشفير مثل هذه الملفات دون لمس المحتويات الفعلية لمجلد المستندات ليس مجرد سلوك يطابق أي فدية في العالم الحقيقي. لذلك RansomFree يتجاهل ذلك. قام Acronis بحظر جميع السيناريوهات العشرة ، وحصلت Malwarebytes على ثمانية. قضى آخرون على منصة الاختبار بالكامل ، مما يعني أنه لا يمكن الإبلاغ عن أي نتائج.
الافنيوز الأخرى
Ransomware هي مشكلة خطيرة ، لذلك ليس من المستغرب أن الشركات الأخرى قد وضعت أساليبها الخاصة لمكافحتها. تعتمد جميع عمليات الكشف عن البرامج الضارة في Webroot SecureAnywhere AntiVirus على السلوك ، وليس فقط الكشف عن الفدية. يقوم برنامج مكافحة الفيروسات على الفور بمسح أي عملية تطابق ملفات تعريف سلوك ضارة موجودة. إذا لم يكن واضحًا بنسبة 100 بالمائة أن العملية المشبوهة ضارة ، فسوف تقوم Webroot بتدوين إجراءاتها المحلية وتفعيل أي إجراءات غير قابلة للإلغاء مثل إرسال المعلومات عبر الإنترنت. عندما يحدد تحليله المستند إلى مجموعة النظراء فيما بعد تلك العملية المشبوهة على أنها برامج ضارة ، يستخدم العميل المحلي بيانات دفتر اليومية لعكس كل الإجراءات بواسطة هذه العملية ، بما في ذلك عكس إجراءات التشفير التي تقوم بها رانسومواري.
يجب عليك شراء مجموعة Panda Internet Security الكاملة للحصول على حماية Ransomware من Panda ؛ لا يتضمن برنامج مكافحة الفيروسات المستقل مكون Data Shield. يهدف Data Shield إلى حماية مستنداتك الثمينة من أي وصول غير مصرح به ، بحيث لا تستطيع برامج الفدية تشفير ملفاتك ، ولا تستطيع أحصنة طروادة سرقة بياناتك. إذا اكتشف Panda محاولة وصول من قبل أي برنامج غير مصرح به ، فسيطلب منك السماح بذلك. بطبيعة الحال ، سوف تمنح الإذن لمعالج النصوص الجديد الذي قمت بتثبيته للتو ، ولكن إذا كان الطلب قد خرج من اللون الأزرق ، فقم برفضه!
تعد Trend Micro Antivirus + Security و Avast Internet Security من بين المنتجات الأخرى التي تحبط الفدية عن طريق منع تعديل الملف غير المصرح به. ومع ذلك ، فإنها لا تمنع الوصول للقراءة فقط كما يفعل Panda.
في عالم الأدوات المصممة خصيصًا لمحاربة البرامج الضارة ، تستخدم جميعها تقريبًا الاكتشاف القائم على السلوك. Bitdefender Anti-Ransomware هو استثناء ؛ يعمل عن طريق تخريب التقنيات الخاصة بفدية الفدية لتجنب تشفير مزدوج ، "تحصين" النظام حتى تعتقد الفدية أنه قام بالفعل بعمله.
تعمل ميزة Check Point ZoneAlarm Anti-Ransomware على إكمال الكشف المعتمد على السلوك بنظام لاستعادة أي ملفات قد تكون مشفرة قبل بدء الكشف عنها. وفي الاختبار ، قامت بعمل مثالي ، حتى أنها ألغت ملاحظات الفدية المتناثرة.
مع Acronis Ransomware Protection ، تحصل على 5 غيغابايت من مساحة التخزين السحابية لملفاتك الحساسة. إذا قام برنامج Ransomware بتشفير ملف أو ملفين قبل الكشف ، فسيقوم Acronis ببساطة باستعادة النسخة الاحتياطية المحمية. إذا كانت سعة 5 جيجابايت غير كافية ، فيمكنك دائمًا الترقية إلى خدمة النسخ الاحتياطي Acronis True Image الخاصة بالشركة ، والتي تتضمن بطبيعة الحال مكون مكافحة الفدية.
تريند مايكرو رانسومبوستر يذهب كل شيء ، القتال رانسومواري على جبهات متعددة. يقوم Folder Shield بحظر تعديل الملفات الحساسة ، ويستخدم الكشف المستند إلى السلوك ، ويستعيد الملفات من التخزين الآمن إذا لزم الأمر. ومع ذلك ، عندما قمت بإيقاف تشغيل Folder Shield للاختبار ، أخطأ الكشف المستند إلى السلوك عدة عينات.
الحمالات والحزام
RansomFree ، كما يوحي الاسم ، مجاني ، وعندما قمنا باختباره باستخدام برامج فدية رهيبة من العالم الواقعي ، قامت بخدمة yeoman. إنه ليس حلًا عالميًا بأي حال من الأحوال ، ولكنه إضافة مفيدة إلى أداة الحماية من البرامج الضارة للأغراض العامة. لقد قمت بتثبيته على جهاز الكمبيوتر الخاص بي الرئيسي للإنتاج ، وأقترح عليك التفكير في إضافته أو أي أداة مساعدة أخرى لحماية رانسومواري لتكملة الحماية الكاملة من الفيروسات.
Check Point ZoneAlarm Anti-Ransomware هو خيار المحررين الخاص بنا للحصول على أمان خاص بفدية الفدية. رغم أنها ليست مجانية ، إلا أنها ليست باهظة الثمن. انها محمية ضد جميع عينات فدية لدينا والملفات المستردة حسب الضرورة ، دون طرح ملفات الطعم حول النظام.
