Se il tuo antivirus non riesce a rilevare un Trojan che ruba dati, puoi ottenere una nuova carta di credito.
Se un virus reale supera le sue difese, uno strumento di pulizia aggressivo dovrebbe occuparsi del problema.
Ma se il tuo antivirus perde un attacco ransomware, potresti perdere tutti i tuoi documenti o persino perdere l'accesso al tuo computer.
È qui che entra in gioco RansomFree di Cybereason.
Questa utility di protezione ransomware dedicata e gratuita funziona insieme al software antivirus esistente.
Si concentra al 100% sul rilevamento e sulla prevenzione dell'infestazione da ransomware osservando i comportamenti comuni a questi attacchi.
Durante i test, con campioni di malware cattivi e reali, ottiene il lavoro.
I membri del team Cybereason si sono formati nell'unità d'élite 8200 dei servizi segreti israeliani, una squadra dedicata alla sicurezza informatica.
Si sono fatti le ossa con gli attacchi informatici a livello militare e ora forniscono difesa di fascia alta a grandi aziende tra cui SoftBank, Vizio e Lockheed Martin.
Poiché l'epidemia di ransomware ha iniziato a mettere a rischio un maggior numero di consumatori, il CEO dell'azienda ha deciso di estrarre il componente ransomware dalla suite di sicurezza Cybereason completa e di fornire gratuitamente tale protezione ransomware ai consumatori.
Anche le piccole imprese possono usarlo; le aziende più grandi dovrebbero prendere in considerazione il servizio Cybereason su vasta scala.
Immediatamente dopo l'installazione, RansomFree inizia a proteggere il tuo sistema dal ransomware.
Funziona in background, cercando comportamenti specifici del ransomware.
Come parte di questo processo, crea file "esca" in posizioni privilegiate come il desktop e la cartella Documenti.
Non ci sono firme antivirus; RansomFree si basa sul rilevamento basato sul comportamento.
Attacco del ransomware
RansomFree è stato uno dei primi strumenti di sicurezza specifici per ransomware che ho recensito l'anno scorso.
All'epoca avevo solo un paio di campioni del mondo reale, oltre a varianti modificate a mano di quelli.
Ora ho una mezza dozzina di campioni che coprono varie famiglie di ransomware.
RansomFree li ha rilevati e bloccati tutti.
Quando rileva un processo che si comporta come un ransomware, RansomFree lo sospende e visualizza un grande avviso.
Fare clic su Sì per terminare il processo e risolvere eventuali problemi.
Puoi anche fare clic su No, ma non lo consiglio.
C'è un collegamento per visualizzare tutti i file creati, modificati o eliminati dal processo incriminato.
Esaminando queste informazioni, ho potuto vedere, ad esempio, che un utente malintenzionato ha creato un file eseguibile con un nome casuale proprio nella cartella Documenti e ha trasferito il controllo a quel programma.
Un altro ha cancellato la sua presenza su disco dopo il caricamento in memoria.
In alcuni casi, RansomFree è apparso due o anche tre volte; Ho sempre cliccato su Sì.
Al termine, ha avvertito che il ransomware potrebbe aver lasciato una richiesta di riscatto o altri detriti che è necessario rimuovere manualmente.
In effetti, ho trovato richieste di riscatto in un paio di casi.
Mi sono imbattuto in un paio di prodotti che non sono riusciti a prevenire un attacco ransomware lanciato all'avvio di Windows.
IObit Advanced SystemCare Ultimate è un esempio, così come il CyberSight RansomStopper gratuito.
Quando ho configurato un campione di ransomware per l'avvio all'avvio, RansomFree non ha avuto problemi a rilevarlo e terminarlo.
Ho a portata di mano un piccolo, semplice simulatore di ransomware, un programma che ho scritto io stesso.
Tutto ciò che fa è trovare i file di testo nella cartella Documenti e applicare loro la crittografia XOR.
Questa tecnica capovolge semplicemente tutti i bit uno a zero e tutti i bit zero a uno; applicandolo una seconda volta si decrittografa il file.
Questo si è rivelato troppo ingenuo perché RansomFree lo notasse e, in effetti, non è veramente distruttivo.
Molte altre utility concorrenti hanno ignorato il mio FakeCryptor, tra cui Acronis e CryptoDrop Anti-Ransomware.
Disk Encryption Ransomware
Il tipo più comune di ransomware crittografa i file essenziali, ma lascia il computer funzionante.
Ciò ha perfettamente senso, perché la vittima ha bisogno di accesso a Internet e al computer per pagare il riscatto.
Tuttavia, esiste un altro tipo meno comune che esegue la crittografia dell'intero disco, bloccando efficacemente il dispositivo fino a quando non si paga.
Il famigerato ransomware Petya è uno di questi e sono riuscito a catturare un campione di Petya.
Le utilità di protezione dal ransomware basate sul comportamento non proteggono necessariamente da questo tipo di attacco.
Degli altri quattro prodotti che ho testato da quando ho ottenuto il campione Petya, Acronis e RansomStopper hanno impedito un attacco Petya, ma Malwarebytes Anti-Ransomware Beta e CryptoDrop no.
Un post sul blog di Cybereason mi ha portato a pensare che RansomFree potrebbe fermare Petya.
Tuttavia, quando ho avviato il mio campione, ha proceduto a un arresto anomalo del sistema ed ha eseguito una finta riparazione del disco di basso livello al riavvio.
In realtà, stava crittografando il disco, non riparandolo.
Vale la pena notare che il ransomware di crittografia del disco è molto meno comune del tipo di crittografia dei file e che molto probabilmente il tuo antivirus lo catturerebbe prima che possa causare danni.
Ransomware simulato enigma
KnowBe4 è un'azienda nota più per i suoi corsi di formazione antiphishing che per i prodotti, ma offre il RanSim Ransomware Simulator gratuito.
Senza toccare nessuno dei tuoi preziosi file, RanSim simula le dieci tecniche di ransomware più comuni, oltre a due innocue tecniche correlate che la protezione da ransomware non dovrebbe bloccare.
Ho installato RanSim sul sistema di test e ho eseguito le sue sequenze di test, con risultati deludenti.
RansomFree si è correttamente astenuto dall'interferire con i due scenari di falsi positivi, ma non ha fatto nulla per bloccare i 10 scenari di ransomware.
Dopo un po 'di ricerca, grattarsi la testa e confabulare con Cybereason e KnowBe4, sono arrivato a capire il problema.
RanSim mette i suoi file di prova in cartelle all'interno di cartelle, quattro livelli sotto la cartella Documenti.
Crittografare tali file senza toccare il contenuto effettivo della cartella Documenti non è un comportamento che corrisponde a qualsiasi ransomware reale.
Quindi RansomFree lo ignora.
Acronis ha bloccato tutti i 10 scenari e Malwarebytes ne ha ricevuti otto.
Altri hanno spazzato via l'intera piattaforma di test, il che significa che non poteva riportare alcun risultato.
Altre vie
Il ransomware è un problema serio, quindi non sorprende che altre società abbiano ideato i propri metodi per combatterlo.
Tutto il rilevamento di malware in Webroot SecureAnywhere AntiVirus ($ 18,99 per 1 dispositivo con piano di 1 anno su Webroot) si basa sul comportamento, non solo sul rilevamento di ransomware.
L'antivirus cancella immediatamente qualsiasi processo che corrisponda a profili di comportamento malware esistenti.
Se non è chiaro al 100% che un processo sospetto sia dannoso, Webroot registra le sue azioni locali e virtualizza tutte le azioni non reversibili come l'invio di informazioni su Internet.
Quando la sua analisi basata su cloud in seguito identifica quel processo sospetto come malware, il client locale utilizza i dati del journal per annullare tutte le azioni di quel processo, inclusa l'annullamento delle azioni di crittografia eseguite dal ransomware.
È necessario acquistare la suite completa di Panda Internet Security ($ 24,99 presso Panda Security) per ottenere la protezione ransomware da Panda; l'antivirus autonomo non include il componente Data Shield.
Data Shield mira a proteggere i tuoi preziosi documenti da ogni accesso non autorizzato, quindi il ransomware non può crittografare i tuoi file e i trojan non possono rubare i tuoi dati.
Se Panda rileva un tentativo di accesso da parte di un programma non autorizzato, ti chiede se consentirlo.
Naturalmente concederai il permesso a quel nuovo elaboratore di testi che hai appena installato, ma se la richiesta viene fuori dal nulla, negala!
Trend Micro Antivirus + Security e Avast Internet Security sono tra gli altri prodotti che contrastano il ransomware impedendo la modifica non autorizzata dei file.
Tuttavia, non impediscono l'accesso in sola lettura come fa Panda.
Nel regno degli strumenti progettati specificamente per combattere il malware, quasi tutti utilizzano il rilevamento basato sul comportamento.
Bitdefender Anti-Ransomware è un'eccezione; funziona sovvertendo le tecniche proprie del ransomware per evitare la doppia crittografia, "vaccinando" il sistema in modo che il ransomware pensi di aver già fatto il suo lavoro.
Check Point ZoneAlarm Anti-Ransomware integra il rilevamento basato sul comportamento con un sistema per il recupero di tutti i file che potrebbero essere stati crittografati prima dell'avvio del rilevamento.
Durante i test, ha svolto un lavoro perfetto, eliminando anche le note di riscatto sparse.
Con Acronis Ransomware Protection, ottieni 5 GB di spazio di archiviazione nel cloud per i tuoi file sensibili.
Se il ransomware crittografa uno o due file prima del rilevamento, Acronis si limita a ripristinarlo dal backup protetto.
Se 5 GB si rivelano insufficienti, puoi sempre eseguire l'aggiornamento al servizio di backup Acronis True Image dell'azienda, che include naturalmente il componente anti-ransomware.
Trend Micro RansomBuster fa di tutto, combattendo il ransomware su più fronti.
Il suo Folder Shield blocca la modifica dei file sensibili, utilizza il rilevamento basato sul comportamento e, se necessario, recupera i file dall'archiviazione sicura.
Tuttavia, quando ho disattivato Folder Shield per il test, il rilevamento basato sul comportamento ha mancato diversi campioni.
Bretelle e cintura
RansomFree è, come suggerisce il nome, gratuito e quando l'abbiamo testato con un brutto ransomware del mondo reale, ha fatto un ottimo servizio.
Non è affatto una soluzione universale, ma è un'utile aggiunta alla tua utilità di protezione dal malware per tutti gli usi.
L'ho installato sul mio PC di produzione principale e ti suggerirei di aggiungerlo o un'altra utility di protezione ransomware gratuita per integrare la tua protezione antivirus su vasta scala.
Check Point ZoneAlarm Anti-Ransomware è la nostra scelta dei redattori per la sicurezza specifica del ransomware.
Sebbene non sia gratuito, non è nemmeno costoso.
Protegge da tutti i nostri campioni di ransomware e ripristina i file se necessario, senza spargere file esca nel sistema.
