Heilig الدفاع فدية مراجعة وتقييم

بالتأكيد ، رانسومواري صداع للأفراد - من يريد أن يفقد كل تقدمك في الرواية الأمريكية العظيمة؟ لكن تخيل مدى سوء الأمر بالنسبة إلى الشركات ، التي قد تخسر 100000 دولار في الساعة (أو أكثر) عندما تحبس رانسومواري الإنتاج. تحتاج أنظمة أمان الأعمال المتطورة إلى حماية قوية ضد برامج الفدية ، وأحيانًا تتيح جهات توفير هذه الأنظمة الحماية على المستوى الشخصي. هذا هو الحال مع Heilig Defense RansomOff المجانية ، التي تستخدم تقنية مستعارة من Hielig Defense Correlate الراقية.

على نحو مماثل ، تقوم Cybereason RansomFree بتغليف حماية برامج الفدية الموجودة في منتجات Cybreason على مستوى المؤسسات. ومع ذلك ، حيث يعمل كل من RansomFree و RansomStopper ومعظم الأدوات المجانية الأخرى الخاصة بفدية Ransomware على تقليل الإعدادات وتفاعل المستخدم إلى الحد الأدنى ، تتضمن RansomOff أوضاعًا ووحدات نمطية متعددة أربكت حتي في بعض الأحيان.

RansomOff تنزيل صغير ، ويتم تثبيته بسرعة. بشكل افتراضي ، يتم تشغيله في الوضع البسيط ، الموصوف باسم "الحماية الخالية من المتاعب". يمكنك أيضًا اختيار الوضع المتقدم "لإطلاق إمكانات RansomOff الكاملة." لقد استفدت من كلا الوضعين في الاختبار ، كما سترى أدناه.

الوضع البسيط

في الوضع البسيط الافتراضي ، تهتم RansomOff بالعمل بالكامل في الخلفية ، مع عدم وجود إخطار بأنها أنهت تهديدات بخلاف الرسوم المتحركة القصيرة لرمز منطقة الإعلام. عندما تنقر نقرًا مزدوجًا فوق الرمز ، فإنه يعرض نافذة صغيرة بها أزرار لعرض التنبيهات وللتحول إلى الوضع المتقدم.

في هذا الوضع ، يقوم RansomOff بإنهاء برنامج الفدية ، لكنه لا يحاول التنظيف. يمكنك دائمًا رؤية ما قامت به بالنقر المزدوج فوق الرمز ثم النقر فوق عرض التنبيهات. تتضمن قائمة التنبيهات عمليات التنظيف المعلقة ، والتي يمكنك تشغيلها يدويًا.

في الاختبار ، قام باكتشاف وإنهاء جميع عينات رانسومواري الخاصة بي في العالم الحقيقي. شاهدت أيقونة الرسوم المتحركة ، ودققت في التنبيهات ، وطلبت التنظيف في كل حالة. ومع ذلك ، تسبب أقل من نصف العينات في تنبيه Ransomware Detected. بالنسبة للباقي ، فقد أبلغت HIPS-Lite Notification ، وأخبرني أن البرنامج المسيء حاول تكوين نفسه للإطلاق عند بدء التشغيل.

كتحقق من الصحة ، قمت بتشغيل العديد من الأدوات المساعدة من المجموعة التي أحتفظ بها لإجراء اختبارات إيجابية خاطئة ، واختيار الأدوات التي تتطلب وظائفها تشغيلها عند بدء التشغيل. في كل حالة ، قضت RansomOff على هذه البرامج الشرعية تمامًا. لم ألاحظ هذا النوع من السلوك في أدوات مساعدة خاصة بـ Ransomware. نظرًا لأن ميزة HPS-Lite تلغي كل من البرامج المشروعة والخبيثة ، بالكاد يمكنني استدعاء هذا الكشف عن رانسومواري.

وضع متقدم

لمزيد من الاستكشاف ، حولت RansomOff إلى الوضع المتقدم وكررت الاختبار. يختلف سلوك البرنامج في هذا الوضع. عند اكتشاف فدية ، فإنه يأخذ على الشاشة مع تحذير مستحيل التجاهل ، ويطلب إذنك للتعامل مع المشكلة. يمكنك النقر للحصول على مزيد من التفاصيل قبل اتخاذ القرار. إذا اكتشف تعديل تسلسل بدء التشغيل ، أو أي إجراءات أخرى مشبوهة ، فإنه ينبثق إخطار HIPS-Lite الأقل حدة ويسأل عما إذا كان يجب السماح بالتغيير أم حظره.

ركضت العينات مرة أخرى ، واخترت Block في أي تحذيرات HIPS-Lite. تشبه النتائج ما رأيته في الوضع البسيط ، مع استثناء صارخ واحد. ربما بسبب التأخير في عرض الإخطار الخاص بها ، سمحت RansomOff لعينة واحدة بتشفير الملفات في مجلد "المستندات" قبل مسحها. لقد جربت هذا عدة مرات ، في حال كان ذلك صدفة ؛ لم يحدث ذلك في كل مرة ، لكنه كان بالتأكيد قابلاً للتكرار.

بعد ذلك ، أعدت تجربة العينات التي أثارت تحذيرات HIPS-Lite ، واختر السماح بهذا الوقت. كانت تلك كارثة. إخبار RansomOff للسماح بتعديل بدء التشغيل تسبب أيضًا في توقفه عن مراقبة نشاط الفدية. "الطريقة التي نراها عند هذه النقطة ، تم الاعتراف بالعملية عند القيام بشيء ما ، واتخذ المستخدم خيارًا بطريقة أو بأخرى" ، أوضح الاتصال في Heilig Defense. "على كل حال ، يجب أن يكون المستخدم أكثر ذكاءً من البرنامج أو على الأقل يجعله يفكر قليلاً قبل السماح به."

لا اوافق يعد برنامج الأمان الذي يضع القرارات الحاسمة في يد المستخدم العادي خطأً ، من وجهة نظري. يشبه نموذج جدار الحماية الشخصي القديم ، الذي جعل المستخدم مسؤولاً عن جميع القرارات المتعلقة بما إذا كان ينبغي السماح لكل برنامج بالوصول إلى الشبكة. تقوم أدوات حماية Ransomware الأخرى بالعمل دون إشراك قرارات المستخدم.

مصممة على الحصول على رؤية واضحة لقدرات البرنامج ، قمت بإيقاف تشغيل ميزة HIPS-Lite وكررت الاختبار مرة أخرى. هذه المرة ، اكتشف المنتج سلوك الفدية وحظره في جميع العينات ، وهي نتيجة مرضية للغاية. ومع ذلك ، لا تزال العينة المزعجة تمكنت من تشفير الملفات قبل أن تقوم RansomOff بإزالتها.

مزيد من الاختبار

لقد واجهت أحيانًا برامج أمان تتعطل عند بدء تشغيل برنامج Ransomware عند بدء التشغيل. من فضلكم أن أقول إن رانسوم أوف ليست واحدة من هؤلاء. عندما أقوم بتعيين عينات زوجين يدويًا لبدء التشغيل عند بدء تشغيل Windows ، فقد منعها بشكل فعال.

لإجراء فحص عقلاني أساسي ، كتبت برنامجًا صغيرًا يشفر جميع الملفات النصية في مجلد "المستندات" باستخدام تشفير XOR القابل للانعكاس. لا تكتشف العديد من أدوات حماية Ransomware هذا البرنامج ، لأنه لن يتم تشفير أي رانسومواري فعلي بهذه الطريقة البسيطة التفكير. لكن الفدية اشتعلت ذلك.

أنا أيضا تحميل ما يصل محاكاة RanSim ransomware من KnowBe4. تحاكي هذه الأداة 10 تقنيات تستخدمها الفدية الفعلية ، إلى جانب نشاطين تشفير غير ضارين. في الوضع البسيط ، لم أستطع تثبيته ، حيث أن RansomOff قام بمسحها. حاول مرة أخرى في الوضع المتقدم مع إيقاف تشغيل HIPS-Lite ، تمكنت من تثبيت ناجح.

أثناء تشغيل الأداة المساعدة للاختبار عبر سيناريوهاتها ، استجبت لـ 11 تحذيرًا من اكتشاف RansomOff. في نهاية الاختبار ، أبلغت RanSim عن منع ناجح لجميع أنشطة الفدية العشرة المحاكاة ، إلى جانب أحد السيناريوهات الضارة. سجل Acronis Ransomware Protection بالضبط نفس الشيء. يعد منع جميع الهجمات العشرة التي تمت محاكاتها ميزة كبيرة ؛ إيجابية واحدة خاطئة هي ناقص صغير.

ميزات حماية فدية Ransomware

أنا معتاد على أدوات حماية فدية غير مزعجة لدرجة أنها بالكاد لديها نافذة رئيسية ، وأحيانًا لا توجد إعدادات تكوين على الإطلاق. يعتبر RansomOff في الوضع المتقدم بمثابة انطلاقة ، مع العديد من الميزات الفاخرة التي لم أستطع فهمها إلا من خلال الحفر في الوثائق.

تأمين التطبيق

App Lockdown هو نظام حماية قائم على القائمة البيضاء ، ويتم تعطيله افتراضيًا ، مع العديد من أوضاع التشغيل. في وضع "جميع العمليات" الصارم ، يتعين عليك الموافقة على كل عملية يتم تشغيلها ما لم يتم استثناءها بالفعل. بفقدان وضع التشغيل الجديد ، يطلب RansomOff فقط التحقق في المرة الأولى التي يتم فيها تشغيل العملية خلال جلسة Windows. يمكنك خفض النوافذ المنبثقة عن طريق استثناء عمليات Windows أو ملفات البرامج الموقعة رقميًا أو كليهما.

قمت بتشغيل "تأمين التطبيقات" في وضع "جميع العمليات" وأطلقت Chrome. اضطررت إلى الموافقة على خمس عمليات متميزة ، ولكن في إطلاق لاحق كانت تلك العمليات معفاة. يمكن لمستخدمي التقنية البارعين تكوين App Lockdown للتنشيط تلقائيًا عند تحميل عملية محددة ، وإلغاء التنشيط اختياريًا عند إغلاق هذه العملية. يقوم إعداد Web Lockdown المسبق بتهيئة App Lockdown لتنشيط عندما تكون نافذة متصفح نشطة ، مثل طريقة عمل VoodooSoft VoodooShield.

النسخ الاحتياطي واستعادة

تهدف ميزة "النسخ الاحتياطي والاستعادة" ، التي يتم تمكينها افتراضيًا ، إلى نسخ الملفات المهددة احتياطيًا ، وإذا لزم الأمر ، استعادتها بعد نشاط الفدية. وفقًا للوثائق ، "سيقوم RansomOff بعمل نسخة من ملف بناءً على إجراءات معينة وحفظه بعيدًا في مساحة محمية." إنه يوفر طرق استعادة متعددة ، من بينها تحديد عملية لاستعادة التغييرات التي أجريتها والبحث عن الملفات التي تحتاج إلى استعادة ، بالإضافة إلى خيار إلغاء حذف الملفات التي ربما تكون RansomOff قد حذفتها عن طريق الخطأ. في الاختبار الذي أجريته ، لم أر هذه الميزة على الإطلاق ؛ لم يساعد في ذلك عينة ransomware المزعجة التي تشفير المستندات الخاصة بي.

أثبتت ميزة الاستعادة في Check Point ZoneAlarm Anti-Ransomware أنها أكثر بساطة وفعالية. في كل حالة ، عرضت استعادة أي ملفات مشفرة ، وفعلت ذلك بنجاح. خطأه الوحيد في الاختبار تضمن الإبلاغ عن الفشل مرة واحدة عندما نجح بالفعل.

Acronis Ransomware Protection يأخذ نهجا مختلفا للنسخ الاحتياطي. يقوم بإنشاء نسخة احتياطية سحابة مشفرة من الملفات الموجودة في المجلدات المحمية الخاصة بك ، والتي تصل قيمتها إلى 5 جيجابايت ، ويستعيد أي ملفات تالفة من قبل رانسومواري بعد القضاء على التهديد.

حماية المجلد

يؤدي النقر فوق "مجلدات" إلى توفير الحماية المستندة إلى إذن من RansomOff للمجلدات التي تحددها. مثل Bitdefender Antivirus Plus و Trend Micro وعدد قليل من البرامج الأخرى ، يمكنه منع البرامج غير المصرح بها من تعديل الملفات ، لكنه يقدم عدة خيارات أخرى. يمكنك منعه من الوصول إلى الملفات الموجودة في المجلد المحمي أو إخفاء وجود هذه الملفات أو حظر تشغيل الملفات القابلة للتنفيذ من الموقع المحمي. هذا الأخير مفيد ضد التهديدات مثل TeslaCrypt ، الذي يسقط ملفًا تنفيذيًا عشوائيًا في مجلد "المستندات" ويقوم بتشغيله.

بشكل مربك ، تقوم بإدارة الحماية عن طريق إضافة مجلدات إلى واحدة من خمس قوائم مختلفة: الرفض والخداع والإخفاء والقراءة فقط وعدم التنفيذ. يمكن للمجلد شغل إحدى هذه القوائم في وقت واحد. للبدء ، أضفت مجلد المستندات إلى قائمة الرفض. يجب أن يمنع هذا الوصول للقراءة والكتابة إلى الملفات المحمية ، مثل الميزة المماثلة في Panda Internet Security. ومع ذلك ، لم يفعل أي شيء لمنع محرر صغير كتبته لنفسي من قراءة وتعديل الملفات.

اتضح أنني لم أكن أهتم بما فيه الكفاية. أظهرت الشاشة بوضوح "الحماية غير ممكّنة" أسفل المجلد المحدد. يجب أيضًا إضافة تطبيق واحد على الأقل معفى قبل أن تبدأ RansomOff في حمايته. أضفت مستكشف Windows إلى القائمة المعفاة ، لتمكين الحماية. بعد ذلك ، لم يظهر مجلد "المستندات" في مربع الحوار المفتوح للملف الخاص بالمحرر الصغير.

لقد حددت Change Protection وقمت بنقل مجلدي المحمي إلى قائمة للقراءة فقط. هذه المرة قام المحرر الصغير الخاص بي بتحميل ملف نصي من المجلد المحمي بنجاح ، لكن محاولة حفظ نسخة معدلة حصلت على رسالة تقول "خطأ في كتابة التدفق". هذا محبط. أبلغ Trend Micro RansomBuster والعديد من البرامج المماثلة الأخرى عن محاولة الوصول ويمنحك فرصة إدراج التطبيق في القائمة البيضاء. عندما تكون قد قمت للتو بتثبيت مستند جديد أو محرر صور ، يمكنك إدراجه بسهولة في هذه المرحلة.

أثناء تجربة المحرر الصغير ، اكتشفت العديد من الملفات في مجلد "المستندات" والتي لم تظهر ببساطة في مستكشف Windows. في الواقع ، مثل RansomFree و CyberSight RansomStopper ، يستخدم RansomOff ملفات "الطعم" للمساعدة في اكتشافها. يخفيها بشكل عام عن العرض ، مثل RansomStopper ، لكنها تظهر في بعض الحالات.

يحتاج إلى ضبط

معظم أدوات الحماية الخاصة بفدية الفدية مبسطة للغاية ، وتؤدي مهامها بهدوء ، دون الحاجة إلى تفاعل المستخدم أو التكوين. يمنحك تثبيت هذه الأداة جنبًا إلى جنب مع الحماية من الفيروسات الموجودة لديك طبقة حماية ثانوية بسيطة. RansomOff أكثر تعقيدًا بكثير من أي من منافسيها ، مع إعدادات متقدمة وميزات محيرة دون قراءة شاملة للمستندات. في الاختبار ، اكتشفت جميع عينات رانسومواري ، ولكن اسمح لأحدهم بتشفير الملفات على الرغم من الكشف عنها.

قد يتمتع التقنيون بها ، ولكن في الوقت الحالي ، يكون الأمر معقدًا للغاية بالنسبة للمستخدم العادي. من ناحية وردية ، يسارع المطورون إلى حل أي مشكلات ، بل يقومون بتحديث البرنامج لإصلاح مشكلات الزوجين أثناء تقييمي. إنني أتطلع إلى إصدار لا يتطلب الكثير من المستخدم العادي.

بفضل Checker ZoneAlarm Anti-Ransomware مع واجهة أكثر بساطة واستردادًا ممتازًا ، يعد خيار المحررين خيارًا لحماية برامج الفدية. إذا لم يكن الدفع مقابل أداة أمان أخرى هو ما تفكر فيه ، فإن CyberSight RansomStopper مجاني ، وهو أيضًا خيار للمحررين في هذا المجال.