Cybersight ransomstopper مراجعة وتقييم

حماية الفدية

عندما يكشف RansomStopper عن هجوم رانسومواري ، فإنه ينهي العملية المخالفة وينبثق تحذيرًا في منطقة الإعلام. يتيح لك النقر فوق التحذير رؤية الملف الذي تسبب في المشكلة. هناك خيار لإزالة البرامج من قائمة العمليات المحظورة - إلى جانب التحذير من أن القيام بذلك يعد فكرة سيئة.

قد يعني انتظار الكشف عن سلوك الفدية أحيانًا أن برنامج الفدية يشفر بضعة ملفات قبل الإنهاء. عندما اختبرت Malwarebytes ، فقد فقد بعض الملفات بهذه الطريقة. Check Point ZoneAlarm Anti-Ransomware يستعيد بنشاط أي ملفات مشفرة. في اختبار بلدي ، فعلت ذلك لكل عينة فدية. ومع ذلك ، أوقفت RansomStopper نفس العينات دون السماح بتشفير أي ملفات.

لإجراء فحص عقل سريع ، أطلقت برنامج بسيط للفدية وهمية كتبته بنفسي. كل ما تفعله هو البحث عن الملفات النصية الموجودة أسفل مجلد المستندات وتشفيرها. إنه يستخدم تشفيرًا بسيطًا وقابلًا للعكس ، لذا فإن التشغيل الثاني يستعيد الملفات. RansomStopper اشتعلت ومنعت chicanery لها. حتى الان جيدة جدا.

الحذر ، لايف رانسومواري

الطريقة الوحيدة المؤكدة لاختبار حماية رانسومواري المستندة إلى السلوك هي باستخدام رانسومواري الحية. أقوم بذلك بحذر شديد ، عزل نظام اختبار الجهاز الظاهري عن أي مجلدات مشتركة ومن الإنترنت.

يمكن أن يكون هذا الاختبار مروعًا إذا فشل منتج مكافحة الفدية في اكتشافه ، لكن اختبار RansomStopper الخاص بي سار بسلاسة. مثل ZoneAlarm و Malwarebytes ، استحوذت RansomStopper على جميع العينات ، ولم أجد أي ملفات مشفرة قبل بدء الكشف السلوكي. Cybereason RansomFree حقق أداءً جيدًا ، لكنه أخطأ.

أنا أيضًا اختبر استخدام KnowBe4's RanSim ، وهي أداة تحاكي 10 أنواع من هجمات الفدية. النجاح في هذا الاختبار هو معلومات مفيدة ، ولكن الفشل قد يعني ببساطة أن الكشف المستند إلى السلوك قد حدد بشكل صحيح أن عمليات المحاكاة ليست فدية حقيقية. مثل RansomFree ، تجاهل RansomStopper المحاكاة.

التمهيد وقت الخطر حلها

حفظ تحت الرادار هو صفقة كبيرة لفدية. عندما يكون ذلك ممكنًا ، فإنه يقوم بالأفعال القذرة بصمت ، حيث يتقدم بطلب فدية فقط بعد تشفير الملفات الخاصة بك. وجود امتيازات المسؤول يجعل مهمة ransomware أسهل ، لكن الوصول إلى هذه النقطة يتطلب عادةً إذن من المستخدم. هناك حلول للحصول على هذه الامتيازات بصمت. تتضمن هذه الترتيبات الترتيب على عملية Winlogon في وقت التشغيل ، أو تعيين مهمة مجدولة لوقت التمهيد. عادةً ما يتم ترتيب رانسومواري فقط لبدء التشغيل ثم يفرض إعادة تشغيل ، دون القيام بأي مهام تشفير.

في الاختبار السابق ، وجدت أن Ransomware يمكنه تشفير الملفات في وقت التمهيد قبل بدء RansomStopper. تمكن برنامج تشفير وهمية الخاص بي من إدارة هذا العمل الفذ. قام بتشفير جميع الملفات النصية داخل مجلد "المستندات" وتحته ، بما في ذلك ملفات نصية RansomStopper. (نعم ، هذه الملفات موجودة في مجلد يخفيه RansomStopper بشكل نشط ، لكن لديّ طرقي…) كما فاتته عينة من برامج الفدية في العالم الحقيقي قمت بتعيينها لإطلاقها عند بدء التشغيل.

اختبر مصممو CyberSight عددًا من الحلول لهذه المشكلة وأصدروا إصدارًا جديدًا يتقدم على فدية وقت التشغيل. اختبرت ذلك يعمل ، إزالة اللطخة واحد على نتائج اختبار RansomStopper الآن.

يعمل RansomFree كخدمة ، لذلك فهو نشط قبل أي عملية منتظمة. عندما أجريت الاختبار نفسه ، حيث قمت بتعيين عينة من فدية العالم الحقيقي لإطلاقها عند بدء التشغيل ، استوعبتها RansomFree أيضًا. Malwarebytes مرت أيضا هذا الاختبار. اكتشف RansomBuster هجوم وقت التمهيد واستعاد الملفات المتأثرة.

لمزيد من استكشاف هذه المشكلة ، حصلت على عينة من برنامج Petya Ransomware الذي تسبب في حدوث متاعب في وقت سابق من هذا العام. هذه السلالة معينة تعطل النظام ثم يحاكي إصلاح وقت التمهيد بواسطة CHKDSK. ما تقوم به فعلاً هو تشفير القرص الصلب. فشل Malwarebytes و RansomFree و RansomBuster في منع هذا الهجوم. اشتعلت RansomStopper قبل أن يتسبب في تعطل النظام - مثير للإعجاب! منعت زون ألارم أيضًا هجوم بيتيا. لكي نكون منصفين للآخرين ، هذه ليست فدية تشفير الملفات نموذجي. بدلاً من ذلك ، يقوم بإغلاق النظام بالكامل عن طريق تشفير القرص الصلب.

عند الاستعلام عن جهات الاتصال الخاصة بي ، تعلمت أن هجمات فدية وقت التشغيل ، بما في ذلك Petya ، أصبحت أقل شيوعًا. ومع ذلك ، لقد أضفت هذا الاختبار إلى ذخيرتي.

تقنيات أخرى

يعد الكشف المستند إلى السلوك ، عند تنفيذه بشكل صحيح ، طريقة ممتازة لمحاربة الفدية. ومع ذلك ، فهي ليست الطريقة الوحيدة. تعتبر Trend Micro RansomBuster و Bitdefender Antivirus Plus من بين تلك التي تحبط الفدية عن طريق التحكم في الوصول إلى الملفات. يمنعون البرامج غير الموثوق بها من إجراء أي تغيير على الملفات الموجودة في المجلدات المحمية. إذا حاول برنامج غير موثوق تعديل ملفاتك ، فستتلقى إخطارًا. عادةً ما تحصل على خيار إضافة البرنامج غير المعروف إلى القائمة الموثوقة. يمكن أن يكون ذلك مفيدًا إذا كان البرنامج المحظور هو محرر النصوص أو الصور الجديد. يذهب Panda Internet Security إلى أبعد من ذلك ، ويمنع البرامج غير الموثوق بها من قراءة البيانات من الملفات المحمية.

يحتاج المحتالون في Ransomware إلى الحرص على أنهم سوف يتمكنون من فك تشفير الملفات عندما يدفع الضحية. تشفير الملفات أكثر من مرة يمكن أن يتداخل مع الاسترداد ، لذلك تتضمن معظمها علامة من نوع ما لمنع وقوع هجوم ثان. يستفيد Bitdefender Anti-Ransomware من هذه التقنية لخداع عائلات محددة من رانسومواري في الاعتقاد بأنها هاجمتك بالفعل. لاحظ ، مع ذلك ، أن هذه التقنية لا يمكنها أن تفعل شيئًا فيما يتعلق بأنواع برامج الفدية الجديدة تمامًا.

عندما تصادف Webroot SecureAnywhere AntiVirus عملية غير معروفة ، فإنها تبدأ في تسجيل جميع الأنشطة بهذه العملية ، وإرسال البيانات إلى السحابة لتحليلها. إذا أثبتت العملية أنها برامج ضارة ، فإن Webroot يسترجع كل ما قامت به ، حتى يتراجع نشاط رانسومواري. لدى ZoneAlarm و RansomBuster طرقهم الخاصة لاستعادة الملفات. عندما يقتل مكون مكافحة الفدية في Acronis True Image أي هجوم على الفدية ، يمكنه استعادة الملفات المشفرة من النسخة الاحتياطية الآمنة الخاصة به إذا لزم الأمر.

الآن فائز

اكتشف CyberSight RansomStopper كل عينات الفدية في العالم الحقيقي وحظرها دون فقد أي ملفات. كما اكتشفت محاكي رانسومواري البسيط المشفر باليد. ومنعت هجوم بيتيا ، حيث فشلت العديد من المنتجات المنافسة.

في وقت سابق ، عرضت RansomStopper ثغرة أمنية في برنامج Ransomware الذي يعمل فقط في وقت التمهيد ، لكن مصادري تقول أن هذا النوع من الهجوم أصبح أقل شيوعًا ، وقد قام CyberSight بحل هذه المشكلة منذ ذلك الحين. المنتجات المجانية الأخرى لديها مشاكلها الخاصة. غاب RansomFree عن عينة من العالم الحقيقي ، وسمح Malwarebytes بتشفير عينة أخرى بشكل لا رجعة فيه بضعة ملفات قبل أن يتم الكشف عنها. RansomBuster كان أسوأ ، فقد نصف العينات تمامًا (على الرغم من أن مكون Folder Shield الخاص به يحمي معظم الملفات).

RansomStopper و Check Point ZoneAlarm Anti-Ransomware هما أفضل اختياراتنا لحماية Ransomware المخصصة. زون ألارم ليس مجانيًا ، ولكن بسعر 2.99 دولارًا في الشهر ، كما أنه ليس باهظ التكلفة. لا يزال ، RansomStopper تدير الحماية الكاملة دون أي تكلفة.