تريند مايكرو ransombuster مراجعة وتصنيف

أثر اندلاع BadRabbit Ransomware الأخير في الغالب على الأشخاص داخل روسيا وبالقرب منها ، وليس بالولايات المتحدة الأمريكية ، لكن لا تدع ذلك يجعلك تشعر بالرضا. من يعرف أين سيضرب الهجوم القادم؟ تحتاج إلى حماية ضد الفدية ، وقد لا تكون مكافحة الفيروسات كافية. يوفر Trend Micro RansomBuster طبقات متعددة من الحماية ، وهو مجاني للاستخدام الشخصي والتجاري. ومع ذلك ، يُظهر اختبارنا أن الطبقات ليست كلها متساوية في الفعالية.

يتوفر RansomBuster كتنزيل مجاني ، كما أنه مكون في منتجات مجموعة تريند مايكرو لمكافحة الفيروسات ومجموعة الأمان. وبالمثل ، يعد Cybereason RansomFree المستقل مكونًا من مكونات مجموعة الأمان الشاملة في Cybereason.

مثل RansomFree و Malwarebytes Anti-Ransomware Beta - وهو مجاني أيضًا - من المفترض أن يستخدم RansomBuster إلى جانب برنامج مكافحة الفيروسات القياسي. كل من هذه المنتجات تركز على الكشف عن رانسومواري على أساس سلوكها ؛ RansomFree تنثر ملفات الطعم في مواقع استراتيجية للمساعدة في الكشف عنها ، كما سأوضح. يتضمن RansomBuster أيضًا الكشف المستند إلى السلوك ، ولكن هذا مجرد واحدة من مهاراته.

إذا اكتشف RansomBuster حتى احتمال خاطئ لنشاط رانسومواري ، فإنه يجعل نسخة احتياطية آمنة من الملفات المتأثرة. عندما يصبح الاحتمال أكيدًا ، فإنه ينهي برنامج الفدية ويستخدم النسخة الاحتياطية لاستعادة أي ملفات متأثرة أثناء تحليله. يقوم Check Point ZoneAlarm Anti-Ransomware باستعادة الملفات المتأثرة بطريقة مماثلة.

إحدى الطرق البسيطة للغاية لمنع تشفير الملفات من رانسومواري في مجلد "المستندات" (أو المجلدات الحساسة الأخرى) هي ببساطة حظر جميع التعديلات عن طريق برامج غير مصرح بها. تستخدم معالج النصوص الموثوق أو محرر الصور الخاص بك كما هو الحال دائمًا ، لكن مكون Folder Shield يمنع الوصول بواسطة أي برنامج غير معروف. يتضمن Bitdefender Antivirus Plus ميزة مشابهة ، بينما يحظر Panda Internet Security المجهول من قراءة ملفاتك.

الابتداء مع RansomBuster

التثبيت سريع وبسيط. بعد التثبيت ، يطالبك البرنامج بتحديد المجلدات التي تريد حمايتها. يتم تحديد مجلد "المستندات" مسبقًا بشكل افتراضي ، ولكن لا تتعجل إضافة المزيد من المجلدات. ستتعلم بسرعة أن هذه النسخة المجانية يمكنها فقط حماية مجلدين. بدا الأمر وكأنه قيد كبير في البداية. في وقت لاحق ، أدركت أن اختيار المجلد C: \ Users يجب أن يحمي معظم مستنداتك المهمة.

اختيار هذه المجلدات هو خيار التكوين الوحيد ؛ هذا برنامج بسيط للغاية ومركّز. بمجرد اتخاذ هذا الخيار ، يعمل RansomBuster في الخلفية فقط ، ولا يتطلب أي تفاعل إضافي إلا إذا واجه هجومًا.

اختبار مجلد الدرع

لإجراء فحص عقلاني سريع ، أطلقت محرر نصوص صغيرًا كتبته بنفسي. لا يوجد هذا البرنامج في أي مكان ولكن على جهاز الكمبيوتر الشخصي الذي أجري الاختبار ، لذلك فهو مؤهل بالتأكيد كبرنامج غير معروف. لقد حاولت تعديل بعض الملفات النصية في مجلد "المستندات". أبلغت RansomBuster بشكل صحيح عن وصول غير مصرح به ، مما يتيح لي خيار حظر هذا الوصول أو إضافة البرنامج إلى القائمة الموثوقة. بعد فترة قصيرة ، اخترت تلقائيًا خيار الحظر. حدث نفس الشيء عندما جربت برنامجًا بسيطًا ومشفّرًا يدويًا يحاكي تشفير سلوك الفدية.

بعد ذلك ، أخرجت الأسلحة الكبيرة - ستة عينات فدية من العالم الحقيقي. في البداية ، تبدو الأمور جيدة. قام Folder Shield بحظر خمسة من العينات ، في حين اكتشف الكشف المستند إلى السلوك السادس قبل أن يؤدي إلى رد فعل من Folder Shield. لاحظت أنه إذا اخترت بالصدفة أن تثق في برنامج تبين أنه فدية ، فإن نظام الكشف القائم على السلوك يتجاهله أيضًا. اقرأ هذه الإشعارات بعناية ، وثق فقط في البرامج التي أنت متأكد منها.

كشفت نظرة فاحصة أن الأمور لم تكن بالمثل. قام أحد عينات الفدية بتشفير ملف في مجلد على سطح المكتب قبل أن يتم ضبطه بواسطة Folder Shield ، لأن سطح المكتب لم يكن محميًا. قام الآخر بتشفير أكثر من عشرة ملفات داخل مجلد سطح المكتب وتحته ، وأسقط ملاحظات فدية في العديد منها. لقد لاحظت أن الملفات المتأثرة كانت أكثر أنواع اعتبرها أقل أهمية. وقد شملت الاختصارات وملفات التعليمات وملفات السجل واثنين من ملفات CSV. أكدت جهة الاتصال الخاصة بي في Trend Micro أن هذه الأنواع ليست من بين حوالي 40 نوعًا من أنواع الملفات التي يتتبعها نظام الكشف القائم على السلوك.

اختبار الكشف القائم على السلوك

Folder Shield يمكنه فقط حماية محتويات مجلدين ، لكن نظام الكشف المعتمد على السلوك يهدف إلى الإبلاغ عن سلوك يشبه الفدية بغض النظر عن مكان حدوثه. لإجراء اختبار خاص بالكشف المستند إلى السلوك ، قمت بتعطيل Folder Shield وكررت اختبارات برامج الفدية في العالم الحقيقي. النتائج لم تكن جميلة.

لم RansomBuster القبض على ثلاثة من العينات الستة. ووصف أحدهم بأنه مشبوه ، وأنهيه قبل أن يتمكن من اتخاذ أي إجراءات سيئة. حدد الاثنان الآخران على أنه رانسومواري ، وسردوا الملفات التي تم تشفيرها ، وأبلغوا عن نجاح عملية الاسترداد.

ومع ذلك ، ركضت العينات الثلاثة الأخرى متفشية ، حيث قام بتشفير الملفات إلى اليمين واليسار وعرض ملاحظات فدية ، كل ذلك دون وجود نظرة خاطفة من RansomBuster. تم اختباره مع هذه العينات نفسها ، اكتشف ZoneAlarm الستة واسترد جميع الملفات. الخطأ ZoneAlarm الوحيد؟ في حالة واحدة ، ذكرت أنها فشلت في استعادة جميع الملفات ، لكنها في الحقيقة لم تفشل.

اكتشفت حماية Ransomware المضمنة في Acronis True Image جميع العينات باستثناء واحدة ، مما أدى إلى استعادة أي ملفات متأثرة من النسخ الاحتياطي الآمن عبر الإنترنت. RansomFree أيضا الكشف عن كل ما عدا واحد. اكتشف Malwarebytes لهم جميعًا ، ولكن في حالة واحدة قام برنامج الفدية بتشفير بعض الملفات قبل أن يتم تحييدها.

نتائج متباينة

أنا أقدر حقيقة أن Trend Micro تقدم RansomBuster مجانًا. أنا فقط أتمنى أن تعمل بشكل أفضل. Folder Shield فعال ، لكن في اختبار الاكتشاف القائم على السلوك لم ينجح بشكل جيد. إذا كنت من محبي Trend Micro ، فقد تفكر في ذلك. ولكن إذا كنت من محبي Trend Micro ، فمن المحتمل أن يكون لديك بالفعل هذه الحماية في برنامج الحماية من الفيروسات أو مجموعة الحماية.

خيارنا المحررين لحماية الفدية هو ZoneAlarm Anti-Ransomware. إنه ليس مجانيًا ، ولكن عند 2.99 دولار شهريًا ، لن يكسر البنك ، ودافع بنجاح ضد جميع عينات فدية برامجنا الواقعية. اكتشفت Malwarebytes Anti-Ransomware Beta المجانية جميع العينات ، على الرغم من أنها فقدت ملفات زوجين للتشفير ، واكتشف Cybereason RansomFree بنجاح وحظر جميعها ما عدا واحدة. إذا كنت ترغب في تعزيز الحماية من رانسومواري الخاصة بك إلى ما هو مدمج في برنامج مكافحة الفيروسات الخاص بك ، فإن إحدى هذه الأدوات هي اختيار أفضل.