جدول المحتويات:
- أنماط حماية الفدية
- الابتداء مع Malwarebytes
- اختبار حماية الفدية
- محاكاة رانسومواري
- إضافة إلى ترسانة الخاص بك
فيديو: Malwarebytes Anti Ransomware Beta VS Real Ransomware TESTED (اكتوبر 2024)
من المحتمل أن تقوم الأداة المساعدة الكاملة لمكافحة الفيروسات بعمل جيد جدًا في الحفاظ على برامج الكمبيوتر خالية من البرامج الضارة. ومع ذلك ، لا يوجد أحد مثالي ، لذلك بين الحين والآخر قد يتخطى فيروس جديد أو Trojan الحماية في الوقت الفعلي. على الرغم من ذلك ، عادةً ما يؤدي تحديث برنامج مكافحة الفيروسات إلى مسح الموقف لفترة طويلة. ولكن إذا كان التهديد الذي تم تمريره هو تشفير الفدية ، فأنت في ورطة. بالتأكيد ، يمكن أن يزيل برنامج مكافحة الفيروسات المحدث البرنامج المسيء ، لكن الضرر قد تم بالفعل. تظل ملفاتك مشفرة ولا يمكن الوصول إليها. يهدف Malwarebytes Anti-Ransomware Beta إلى إنقاذك من هذا الألم عن طريق التقاط أي فدية تفوتها برامج مكافحة الفيروسات.
لا تخجل بسبب "الإصدار التجريبي" في الاسم. هذا المنتج المجاني قيد الاختبار التجريبي دائمًا ، حيث يتلقى جميع أحدث تقنيات مكافحة الفدية من Malwarebytes. في وقت لاحق ، عندما يتم تنعيم أي نقاط تقريبية ، تنقل الشركة هذه التكنولوجيا إلى Malwarebytes Anti-Ransomware التجارية. هذا يرضي فريق تقنية المعلومات ، الذي يفضل عادةً التكنولوجيا الأقدم قليلاً على أحدث التقنيات.
من الطبيعي أن تحصل على الحماية من الفدية كجزء من برنامج الحماية من الفيروسات واسع النطاق للشركة ، Malwarebytes 3.0 Premium. يعمل منتج حماية الفدية المستقل إلى جانب برنامج مكافحة الفيروسات الموجود لديك ، ويعمل على التقاط أي شيء يفتقده برنامج مكافحة الفيروسات الرئيسي.
أنماط حماية الفدية
هناك عدد من الطرق المختلفة لتطبيق منتجات الحماية على حماية رانسومواري. تتضمن إحدى الطرق التحكم في الوصول إلى المواقع المحمية أو أنواع الملفات المحمية أو كليهما. تحصل البرامج الجيدة المعروفة مثل مكونات Windows وبرامج Office على الضوء الأخضر. عندما يحاول تطبيق غير معروف الوصول ، يحذر منتج الأمان المستخدم من هجوم فدية محتمل. إذا كان مجرد محرر مستندات جديد ، يمكن للمستخدم وضعه في القائمة البيضاء بنقرة واحدة ؛ إذا كانت فدية ، فإن نقرة أخرى ترسلها إلى العزل.
بعض المنتجات تمنع فقط التغييرات في الملفات المحمية. بينما يمنع آخرون ، بما في ذلك IObit Malware Fighter 5 Pro و Panda Internet Security ، القراءة غير المصرح بها للبيانات من الملفات المحمية. هذا النوع من الحماية يمنع أيضًا سرقة أحصنة طروادة من البيانات من حذف بياناتك الخاصة.
من المتصور أن تؤدي عملية فدية رهيبة صعبة إلى القيام بأعمالها القذرة من خلال تخريب برنامج مدرج في القائمة البيضاء ، أو إيجاد طريقة أخرى للتغلب على قيود الوصول. حتى إذا حدث ذلك ، فإن المنتج الذي يكتشف الفدية استنادًا إلى سلوكه قد يظل محبطًا للهجوم. هذه هي الطريقة التي يعمل Malwarebytes Anti-Ransomware. Cybereason RansomFree يأخذ نهجا مماثلا.
ستجد طبقات حماية خاصة بـ Ransomware في العديد من منتجات مكافحة الفيروسات القياسية أيضًا. يشمل Bitdefender و Trend Micro هذا المكون. يستند الكشف عن البرامج الضارة بواسطة Webroot SecureAnywhere AntiVirus إلى سلوك كلي ، ويمكن لنظام الدفاتر واستعادة هذه الأداة لبرامج غير معروفة عكس هجوم الفدية. لا تحذر الشركة من أن المساحة المتاحة للمراجعة اليومية محدودة.
الابتداء مع Malwarebytes
Malwarebytes Anti-Ransomware هو برنامج صغير وخفيف الوزن يتم تثبيته في لمح البصر. تحتوي النافذة الرئيسية البسيطة على ثلاث علامات تبويب: لوحة المعلومات ، والحجر الصحي ، والاستثناءات. تؤكد لوحة القيادة ببساطة أن الحماية نشطة ، وتوفر رابطًا لإيقاف تشغيل الحماية. لن ترى أي شيء في الحجر الصحي ما لم يحبط المنتج هجوم فدية فعليًا.
لماذا تريد استبعاد ملف من الكشف؟ حسنًا ، هذا منتج تجريبي ، ومن المتصور أن يتم اكتشاف منتج تشفير مشروع في شبكته. إذا واجهت هذه النتيجة الإيجابية الخاطئة ، فما عليك سوى إنقاذها من الحجر الصحي ووضعها في قائمة الاستبعادات.
اختبار حماية الفدية
اختبار حماية الفدية أصعب من اختبار حماية البرمجيات الخبيثة للأغراض العامة. البرامج الخبيثة نفسها في بعض الأحيان مشاهدة علامات الاختبار ووضع منخفض. على الجانب الآخر ، إذا لم تكن مهتمًا بعينات الفدية في العالم الحقيقي ، فيمكنهم الهروب من سجن الجهاز الافتراضي الخاص بهم وإحداث أضرار حقيقية.
من السهل اختبار منتجات مثل Panda Internet Security التي تتحكم في الوصول إلى الملفات. لديّ برامج اختبار صغيرة تمارس هذا النوع من الحماية.
مع الحماية القائمة على السلوك ، مع ذلك ، فأحيانًا ما يكون ملاجي الوحيدة هي استخدام برامج فدية حقيقية ، في بيئة يتم التحكم فيها بعناية. لا يزال اختبار Ransomware الخاص بي يتطور. في الوقت الحالي ، لديّ ثلاث عينات من العالم الحقيقي ، تهديدات جمعتها من مواقع خطرة. فعلت البرامج الضارة بشكل جيد في اختبار عملي.
العينة الفدية الأولى هي moody. في كثير من الأحيان ، يتم تشغيله كعملية خلفية دون القيام بأي شيء. مع عدم وجود سلوك ، لا يمكن أن يكون هناك اكتشاف يستند إلى السلوك ، لذلك تحصل Malwarebytes على هذا التمرين.
اكتسبت Malwarebytes ثانية واحدة حمراء ، وفرضت الحجر الصحي عليها ، وطلبت إعادة تشغيل الكمبيوتر لوضع اللمسات الأخيرة على تنظيفه. بعد إعادة التشغيل ، لاحظت أنه أثناء تحليل السلوك بواسطة Malwarebytes ، تمكنت الفدية من تشفير عدة ملفات. بالنسبة لي ، هذا يبدو وكأنه نتيجة طبيعية للكشف القائم على السلوك. بدون سلوك الفدية ، لا يوجد كشف ، أليس كذلك؟ ومع ذلك ، تقول جهة الاتصال الخاصة بي في Malware bytes إنها "تقترب حقًا من حل هذا."
سقطت العينة الثالثة أيضا فريسة ل Malwarebytes. بعد إعادة التشغيل ، اعتقدت للحظة أن رانسومواري لا تزال قيد التشغيل ، لأنها عرضت فدية طلبها كملف نصي ، وثيقة HTML ، وصورة PNG. اتضح ، على الرغم من ذلك ، أن برنامج الفدية قد ألقى تلك الملفات ببساطة في مجلد بدء التشغيل ، بحيث يتم فتحها عند بدء التشغيل. لم يكن هناك أي أثر لتطبيق البرمجيات الخبيثة نفسها. هنا ، مرة أخرى ، قامت البرامج الضارة بتشفير العديد من الملفات قبل بدء الحماية.
محاكاة رانسومواري
الطريقة الوحيدة الموثوقة تمامًا لاختبار الكشف عن الفدية المستندة إلى السلوك هي باستخدام الفدية الفعلية. أي محاكاة تتكرر بشكل كامل نشاط تهديد الفدية المشفرة ستكون في حد ذاتها برامج ضارة. ومع ذلك ، هذا ليس سببًا لشطب الاختبار تمامًا باستخدام رانسومواري المحاكاة.
قامت KnowBe4 ، شركة التدريب الأمني ، بإصدار أداة مجانية تسمى RanSim ، مصممة لاختبار حماية برامج الفدية الخاصة بك. يتم تشغيل الوحدات النمطية التي تقوم بتطبيق عشر تقنيات تشفير للفدية شائعة ، بالإضافة إلى اثنين من تقنيات مماثلة ولكن غير ضارة. من الناحية النظرية ، فإن أفضل منتج سوف يحجب جميع تقنيات الفدية ويترك التقنيات غير الضارة وحدها.
عندما اختبرت حماية Ransomware النشطة المضمنة في Acronis True Image 2017 New Generation ، حظرت جميع الهجمات المحاكاة باستثناء واحدة منها. بطبيعة الحال ، النسخ الاحتياطي الكامل ، المدرعة ضد التغيير غير المصرح به ، هو مساعدة كبيرة في التعافي من هجوم البرمجيات الخبيثة.
لم يكشف RansomFree عن أي من الهجمات المحاكاة. أشار مصمموها إلى أن الهجمات التي تمت محاكاتها تؤثر فقط على العديد من مستويات المجلدات الموجودة أسفل مجلد "المستندات" ، وليس في أي مكان آخر. لا الفدية في العالم الحقيقي يتصرف بهذه الطريقة.
أما بالنسبة إلى Malwarebytes ، فقد دافع بنشاط ضد ثمانية من الهجمات العشرة التي تمت محاكاتها ، لكنه أخطأ الهجومين. نظرًا لوجود مشكلات في استخدام برامج الفدية المحاكاة ، فأنا أعتبرها ميزة إضافية عندما يكتشف منتج ما وحدات RanSim ، لكنني أعامل فشل RanSim على أنه غير إعلامي ، وليس سلبياً.
إضافة إلى ترسانة الخاص بك
Malwarebytes Anti-Ransomware Beta نجح في اختبار عملي بسيط. من المؤكد أن بعض رانسومواري قام بتشفير بعض الملفات ، لكن بدون حماية ، كان من الممكن أن يفعل الكثير ، أسوأ بكثير. حماية Ransomware هي بالضرورة مسألة طبقات. ما غاب مكون واحد ، قد قبض آخر. لقد أضفت Malwarebytes إلى ترسانة الأدوات المساعدة التي تحمي نظام الإنتاج الرئيسي الخاص بي ، إلى جانب برنامج Norton Internet Security و Cybereason RansomFree.
