Les meilleurs utilitaires antivirus utilisent de nombreuses couches de protection, telles que la recherche de correspondance avec les signatures de logiciels malveillants, l'analyse heuristique et la détection basée sur le comportement.
De temps en temps, cependant, un nouvel attaquant fouille toutes les couches et plante du code désagréable sur votre PC.
Habituellement, une mise à jour antivirus élimine l'infestation de logiciels malveillants en quelques jours, voire quelques heures, mais ne démarrez pas encore la fête.
Si l'attaque impliquait un ransomware, la suppression du malware laisse toujours vos fichiers cryptés et inaccessibles.
L'ajout d'une couche de protection spécialement conçue pour la protection contre les ransomwares, quelque chose comme Check Point ZoneAlarm Anti-Ransomware peut éviter la possibilité de perdre vos fichiers essentiels.
La base de code de cet utilitaire provient d'un plus grand système de protection au niveau de l'entreprise, Check Point's Enterprise Forensics.
RansomFree s'appuie également sur le code du système de sécurité de niveau métier de son créateur.
Le code de Malwarebytes Anti-Ransomware Beta va cependant dans la direction opposée.
Après que la dernière technologie ait été lancée dans le domaine des consommateurs pendant un certain temps, la société l'utilise pour améliorer Malwarebytes Anti-Ransom for Business.
Acronis, Bitdefender, Ransomfree, RansomStopper, Malwarebytes et RansomBuster sont totalement gratuits.
ZoneAlarm n'est pas gratuit, mais à 1,99 $ par mois après un essai gratuit de 30 jours (ou 2,99 $ par mois pour trois licences), c'est à peine cher.
Techniques de protection contre les ransomwares
RansomStopper, RansomFree et ZoneAlarm font partie de ceux qui fonctionnent en surveillant les processus actifs pour détecter les comportements suggérant une activité de ransomware.
Webroot SecureAnywhere AntiVirus (18,99 $ plus de 50% de réduction exclusif pour Daxdi chez Webroot) ajoute une détection de ransomware basée sur le comportement au-dessus de ses autres couches antivirus, et sa gestion journal-et-rollback de l'activité devrait lui permettre d'inverser toute chicane qu'une menace de ransomware perpétré avant sa découverte.
Cependant, la détection basée sur le comportement n'est qu'une technique.
Il existe d'autres moyens pour les produits de sécurité de mettre en œuvre une protection contre les ransomwares.
Par exemple, Bitdefender Anti-Ransomware utilise une technique de vaccination qui empêche l'infection en faisant croire aux ransomwares de certaines familles spécifiques que le PC a déjà été chiffré.
Le but du ransomware de chiffrement de fichiers n'est pas de désactiver votre ordinateur.
Vous aurez besoin de cet ordinateur pour payer la rançon, après tout.
Les fichiers les plus vulnérables sont vos documents, images et autres fichiers personnels, de sorte que certains produits contrecarrent les ransomwares en interdisant les modifications non autorisées de ces fichiers.
Bitdefender Antivirus Plus, Trend Micro RansomBuster et Panda Internet Security font partie des produits qui utilisent ce type de protection.
Lorsqu'un processus tente un accès non autorisé, vous recevez une notification.
Si votre nouvel utilitaire d'édition d'images a déclenché l'avertissement, il vous suffit de l'ajouter à la liste de confiance.
Mais si l'avertissement ne correspond à rien de ce que vous faites, bloquez-le!
Panda Dome Advanced va encore plus loin en bloquant même l'accès en lecture seule par des programmes non autorisés.
En plus de protéger les ransomwares, ce niveau de protection peut également servir à déjouer les chevaux de Troie voleurs de données.
Avant qu'une solution de sécurité puisse analyser le comportement d'un programme à la recherche de signes révélateurs d'un ransomware, elle doit détecter certains comportements.
Au cours de cette période d'analyse, l'attaquant pourrait bien crypter quelques fichiers, voire beaucoup de fichiers.
Acronis Ransomware Protection inclut une détection basée sur le comportement ainsi que sa fonctionnalité de sauvegarde centrale, mais il peut également restaurer automatiquement tous les fichiers cryptés à partir d'une sauvegarde en ligne sécurisée.
ZoneAlarm vise également à restaurer tous les fichiers touchés par un ransomware.
Premiers pas avec ZoneAlarm Anti-Ransomware
Vous pouvez utiliser ce produit gratuitement pendant 30 jours et vous n'avez même pas à fournir les informations de votre carte de crédit.
Vous pouvez annuler sans frais jusqu'à la date limite de 30 jours, mais après cela, vous paierez 1,99 $ par mois.
L'installation est simple et rapide.
En quelques minutes, vous voyez la grande fenêtre principale super simple.
Tout ce qu'il dit, c'est qu'il protège vos fichiers contre les ransomwares.
Il n'y a pas de paramètres, pas de journaux, rien que cet écran simple et rassurant.
Vous pouvez réduire le programme à son icône dans la zone de notification et ne plus jamais y penser… jusqu'à ce que le ransomware attaque.
Vous remarquerez peut-être de nouveaux fichiers dans votre dossier Documents et ailleurs; comme Cybereason RansomFree et RansomStopper, ZoneAlarm crée des fichiers bait pour aider à détecter le comportement des ransomwares.
Combattre les ransomwares du monde réel
Comment tester un outil de protection contre les ransomwares basé sur le comportement? Vraiment, la seule façon de le faire est d'utiliser un ransomware réel et réel.
Les outils de simulation peuvent être utiles, mais tout simulateur qui émulerait pleinement et véritablement le comportement d'un ransomware serait lui-même un ransomware.
Pour vérifier la protection contre les ransomwares par ZoneAlarm et des produits similaires, j'utilise des échantillons de ransomwares trouvés dans la nature.
Naturellement, j'effectue ces tests dans une machine virtuelle isolée qui est effacée après chaque test.
J'ajoute à ma collection de ransomwares au fur et à mesure que je trouve de nouveaux échantillons, mais je ne jette pas d'anciens.
Les outils de protection contre les ransomwares ne sont pas comme des utilitaires antivirus simples.
Ils ne recherchent pas des attaquants connus, mais plutôt des comportements d'attaque.
Par conséquent, il n'y a aucun mal à utiliser des échantillons plus anciens.
J'ai déjà testé ZoneAlarm avec la plupart de mes échantillons actuels, mais j'ai quand même répété le test.
Je suis content de l'avoir fait, car cela a révélé un problème (rapidement résolu) avec une version du logiciel.
Peu de temps après avoir lancé le premier échantillon, la fenêtre principale de ZoneAlarm est apparue avec un gros avertissement indiquant qu'elle avait détecté une attaque de ransomware.
Un popup éphémère de style grille-pain annonçait également cette découverte.
Mes contacts Check Point ont souligné que cette fenêtre contextuelle n'est pas redondante.
Si vous êtes intégré dans une application d'interface utilisateur moderne, vous verrez la fenêtre contextuelle, mais pas la fenêtre principale.
Après un court instant, l'application a annoncé qu'elle avait mis le ransomware en quarantaine.
Il a averti que l'attaque avait modifié certains fichiers et proposé de réparer les fichiers affectés.
Je ne sais même pas pourquoi c'est facultatif - qui dirait non à la réparation? Pour les tests, j'ai toujours choisi l'option de réparation.
Sur la page qui répertorie les fichiers concernés, il y a un lien intitulé Not Ransomware.
Dans le cas rare où ZoneAlarm identifie accidentellement un programme valide comme ransomware, cliquer sur ce lien est votre chance de sauver le programme.
Je n'ai vu aucun faux positif, donc dans chaque cas, j'ai choisi de réparer les fichiers et de vérifier l'état de ces fichiers par la suite.
ZoneAlarm a à la fois restauré les fichiers cryptés et effacé les notes de rançon et autres fichiers auxiliaires abandonnés par le ransomware.
Dans un cas, le ransomware avait tué l'Explorateur Windows, ne laissant rien de visible sauf sa note aléatoire.
Lorsque ZoneAlarm a terminé, tout ce que j'avais était un écran vide à regarder.
J'ai dû ouvrir le Gestionnaire des tâches et relancer l'Explorateur Windows.
En répétant le test, j'ai trouvé que forcer une réinitialisation matérielle faisait également l'affaire.
L'attaque du ransomware Petya diffère de tous mes autres échantillons.
Au lieu de crypter les fichiers, il simule une panne du système et prétend exécuter CHKDSK au redémarrage.
Dans les coulisses, il crypte l'intégralité de votre disque dur.
Vous ne perdez pas seulement des fichiers au profit de Petya; vous perdez tout accès à votre ordinateur.
Lorsque j'ai lancé l'exemple Petya, ZoneAlarm l'a détecté tout de suite, tout comme RansomStopper et Acronis.
Je n'ai pas testé tous les produits de protection contre les ransomwares contre Petya, mais CryptoDrop Anti-Ransomware, Malwarebytes et RansomFree ne se sont pas défendus contre l'attaque Petya.
En fin de compte, ZoneAlarm s'est avéré totalement efficace contre tous mes échantillons de ransomwares réels.
RansomFree a détecté mes échantillons, mais n'a pas nettoyé des choses comme les notes de rançon.
Malwarebytes permet au ransomware de crypter quelques fichiers avant d'arrêter le processus.
Acronis a totalement manqué l'un de mes échantillons, mais il s'en est bien sorti autrement.
CryptoPrevent Premium a manqué la plupart de mes échantillons, malgré le fait de submerger le bureau d'une pléthore de fichiers d'appâts.
Seul RansomStopper a fait mieux, bloquant tous les échantillons sans nécessiter de phase de nettoyage par la suite.
Le ransomware simulé n'est pas entièrement sans valeur.
Une solution ransomware peut démontrer son succès en bloquant les simulations.
Je ne considère tout simplement pas l'échec de bloquer les attaques simulées comme un échec réel.
Auparavant, lorsque j'essayais de tester ZoneAlarm à l'aide du simulateur de ransomware RanSim de KnowBe4, cela annulait les processus d'aide du programme, rendant la notation impossible.
Cette fois, il s'est avéré moins lourd, bloquant avec succès les 10 scénarios de simulation et laissant le programme en vie pour signaler ce succès.
Un faux départ effrayant
À mi-chemin de mes tests, cette critique se lisait très différemment.
Il était plein de commentaires sur le crash de ZoneAlarm à plusieurs reprises et son incapacité à résoudre les problèmes de ransomware.
Au cours de cette série de tests, ZoneAlarm a obtenu un succès total sur moins de la moitié de mes échantillons.
En creusant dans des journaux avec mes contacts dans l'entreprise, j'ai appris ce qui s'était passé.
Check Point a publié une mauvaise version du produit, qui était sujette à des plantages, mais l'a rapidement remplacée sur le lien de téléchargement officiel, celui fourni aux clients payants.
Malheureusement, le lien de téléchargement de la version d'essai a conservé le code défectueux.
J'ai téléchargé la version d'essai, puis mis à niveau à l'aide d'une clé d'enregistrement, ce qui m'a laissé avec la version sujette aux plantages.
Nous avons résolu le problème et ZoneAlarm s'est une fois de plus avéré totalement efficace.
Mais je me demande combien de personnes ont récupéré du mauvais code du lien d'essai avant qu'il ne soit corrigé? Et pourquoi l'édition d'essai n'a-t-elle pas été automatiquement mise à niveau vers le dernier et le meilleur code? Ce faux départ effrayant a gâché une performance par ailleurs excellente.
La meilleure protection contre les ransomwares
La protection contre les ransomwares est encore un nouveau domaine, avec de nouveaux produits apparaissant tout le temps.
Parmi les outils spécifiques aux ransomwares que j'ai vus, ZoneAlarm Anti-Ransomware est clairement gagnant.
Il a géré avec succès tous mes échantillons de ransomwares réels et a corrigé toutes les modifications apportées par les processus de ransomware, y compris l'élimination des notes de rançon que certains autres produits laissent derrière.
Si vous êtes préoccupé par les ransomwares (et vous devriez l'être), le prix de 1,99 $ par mois peut sembler très bien.
Si vous n'êtes pas prêt à dépenser le prix d'une tasse de café chaque mois, vous pouvez toujours bénéficier d'une protection efficace contre les ransomwares.
CyberSight RansomStopper ne coûte pas un sou, et il a été aussi bien testé que ZoneAlarm.
Vous pourriez dire que cela a mieux fonctionné.
Là où ZoneAlarm a réparé tous les fichiers affectés, RansomStopper n'a jamais autorisé le cryptage en premier lieu.
Ces deux produits sont le choix de nos rédacteurs pour une protection dédiée contre les ransomwares.
Check Point ZoneAlarm Anti-Ransomware
La ligne de fond
Check Point ZoneAlarm Anti-Ransomware reste l'un des plus efficaces ...
