Il tuo antivirus o suite di sicurezza dovrebbe davvero proteggerti dal ransomware, insieme a tutti gli altri tipi di malware.
Potrebbe esserci un errore occasionale con un attacco mai visto prima, ma quelle incognite diventano rapidamente note.
Sfortunatamente, la rimozione ex post del ransomware lascia ancora i tuoi file crittografati.
Ecco perché potresti voler aggiungere un'utilità di protezione da ransomware al tuo arsenale.
Il CyberSight RansomStopper gratuito ha bloccato il ransomware reale durante i test e l'ultimo aggiornamento gestisce il ransomware che viene eseguito solo all'avvio.
Recensioni oneste e obiettive
Daxdi.com è un'autorità leader nel campo della tecnologia e fornisce recensioni indipendenti basate su Labs dei prodotti e servizi più recenti.
La nostra analisi del settore esperta e le soluzioni pratiche ti aiutano a prendere decisioni di acquisto migliori e ottenere di più dalla tecnologia.
RansomStopper è abbastanza simile a Cybereason RansomFree, Trend Micro RansomBuster e Malwarebytes Anti-Ransomware Beta.
Tutti e quattro sono gratuiti e tutti rilevano il ransomware in base al suo comportamento.
Dal momento che si basano sul comportamento, non importa se il ransomware è una vecchia quantità nota o un attacco zero-day appena creato.
Come RansomFree, RansomStopper utilizza i file esca come parte della sua metodologia di rilevamento.
Tuttavia, RansomStopper nasconde i suoi file esca all'utente.
Iniziare
L'installazione è stata rapida durante i miei test.
Dopo il download, ho completato il processo inserendo il mio nome, cognome e indirizzo e-mail.
Dopo aver risposto all'e-mail di conferma, il prodotto era attivo e funzionante.
A differenza di ZoneAlarm Anti-Ransomware e altri, richiedeva un riavvio per essere pienamente operativo.
La semplice finestra principale del prodotto segnala che "Sei protetto dal ransomware".
I pulsanti nella parte inferiore ti consentono di visualizzare gli avvisi di sicurezza, i processi che RansomStop ha bloccato e i processi che hai scelto di consentire.
Un altro pulsante ti consente di verificare la presenza di aggiornamenti, se non hai selezionato gli aggiornamenti automatici durante l'installazione.
Semplice!
CyberSight offre anche un'edizione business.
Le funzionalità aggiunte includono avvisi e-mail, amministrazione centralizzata e rapporti dettagliati.
L'edizione business costa $ 29,99 per una singola licenza, anche se il prezzo scende fino a $ 10 per postazione con contratti multilicenza.
Protezione da ransomware
Quando RansomStopper rileva un attacco ransomware, termina il processo incriminato e visualizza un avviso nell'area di notifica.
Facendo clic sull'avviso puoi vedere quale file ha causato il problema.
C'è un'opzione per rimuovere i programmi dall'elenco dei processi bloccati, insieme a un avviso che è una cattiva idea.
In attesa di rilevare il comportamento del ransomware, a volte può significare che il ransomware crittografa alcuni file prima della terminazione.
Quando ho testato Malwarebytes, ha perso alcuni file in questo modo.
Check Point ZoneAlarm Anti-Ransomware ($ 39,95 fatturato annualmente da ZoneAlarm) recupera attivamente tutti i file crittografati.
Nei miei test, lo ha fatto per ogni campione di ransomware.
Tuttavia, RansomStopper ha interrotto gli stessi campioni senza consentire la crittografia di alcun file.
Per un rapido controllo della sanità mentale, ho lanciato un semplice programma ransomware falso che ho scritto io stesso.
Tutto ciò che fa è cercare file di testo dentro e sotto la cartella Documenti e crittografarli.
Utilizza un codice semplice e reversibile, quindi una seconda esecuzione ripristina i file.
RansomStopper l'ha catturato e ha impedito che fosse imbrogliato.
Fin qui tutto bene.
Attenzione, Live Ransomware
L'unico modo sicuro per testare la protezione ransomware basata sul comportamento è utilizzare il ransomware live.
Lo faccio con molta cautela, isolando il mio sistema di test della macchina virtuale da qualsiasi cartella condivisa e da Internet.
Questo test può essere straziante se il prodotto anti-ransomware non riesce a rilevare, ma il mio test RansomStopper è andato senza intoppi.
Come ZoneAlarm e Malwarebytes, RansomStopper ha catturato tutti i campioni e non ho trovato alcun file crittografato prima che iniziasse il rilevamento comportamentale.
Cybereason RansomFree ha funzionato abbastanza bene, ma ne ha mancato uno.
Provo anche utilizzando RanSim di KnowBe4, un'utilità che simula 10 tipi di attacchi ransomware.
Il successo in questo test è un'informazione utile, ma il fallimento può semplicemente significare che il rilevamento basato sul comportamento ha determinato correttamente che le simulazioni non sono un vero ransomware.
Come RansomFree, RansomStopper ha ignorato le simulazioni.
Risolto il pericolo in fase di avvio
Rimanere sotto il radar è un grosso problema per il ransomware.
Quando possibile, compie le sue azioni sporche in silenzio, presentandosi solo con la sua richiesta di riscatto dopo aver crittografato i tuoi file.
Avere privilegi di amministratore semplifica il lavoro del ransomware, ma arrivare a quel punto in genere richiede l'autorizzazione dell'utente.
Esistono soluzioni alternative per ottenere questi privilegi in modo invisibile.
Questi includono organizzare il piggyback sul processo Winlogon all'avvio o impostare un'attività pianificata per l'avvio.
In genere, il ransomware si avvia all'avvio e quindi forza un riavvio, senza eseguire alcuna attività di crittografia.
Nei miei test precedenti, ho scoperto che il ransomware poteva crittografare i file al momento dell'avvio prima che RansomStopper si attivasse.
Il mio programma di crittografia falsa ha gestito quell'impresa.
Ha crittografato tutti i file di testo dentro e sotto la cartella Documenti, inclusi i file di testo esca di RansomStopper.
(Sì, quei file si trovano in una cartella che RansomStopper nasconde attivamente, ma ho i miei metodi ...) Ha anche perso un campione di ransomware reale che ho impostato per l'avvio all'avvio.
I progettisti di CyberSight hanno testato una serie di soluzioni per questo problema e hanno rilasciato una nuova versione che anticipa il ransomware all'avvio.
L'ho provato; funziona, rimuovendo l'unica macchia sui risultati dei test ora sterili di RansomStopper.
RansomFree funziona come un servizio, quindi è attivo prima di qualsiasi processo regolare.
Quando ho eseguito lo stesso test, impostando un campione di ransomware reale da avviare all'avvio, anche RansomFree lo ha rilevato.
Anche Malwarebytes ha superato questo test.
RansomBuster ha rilevato l'attacco in fase di avvio e ha ripristinato i file interessati.
Per esplorare ulteriormente questo problema, ho ottenuto un campione del ransomware Petya che ha causato problemi all'inizio di quest'anno.
Questo particolare ceppo blocca il sistema e quindi simula la riparazione all'avvio da parte di CHKDSK.
Quello che sta effettivamente facendo è crittografare il tuo disco rigido.
Malwarebytes, RansomFree e RansomBuster non sono riusciti a prevenire questo attacco.
RansomStopper lo ha rilevato prima che potesse causare il crash del sistema: impressionante! ZoneAlarm ha anche impedito l'attacco di Petya.
Per essere onesti con gli altri, questo non è un tipico ransomware di crittografia di file.
Piuttosto, blocca l'intero sistema crittografando il disco rigido.
Interrogando i miei contatti, ho appreso che gli attacchi ransomware in fase di avvio, incluso Petya, stanno diventando meno comuni.
Anche così, ho aggiunto questo test al mio repertorio.
Altre tecniche
Il rilevamento basato sul comportamento, se implementato correttamente, è un ottimo modo per combattere il ransomware.
Tuttavia, non è l'unico modo.
Trend Micro RansomBuster e Bitdefender Antivirus Plus sono tra quelli che contrastano il ransomware controllando l'accesso ai file.
Impediscono ai programmi non attendibili di apportare modifiche ai file nelle cartelle protette.
Se un programma non attendibile tenta di modificare i tuoi file, ricevi una notifica.
In genere, hai la possibilità di aggiungere il programma sconosciuto all'elenco attendibile.
Questo può essere utile se il programma bloccato era il tuo nuovo editor di testo o foto.
Panda Internet Security va ancora oltre, impedendo a programmi non attendibili persino di leggere i dati dai file protetti.
I criminali ransomware devono fare in modo di poter decrittografare i file quando la vittima paga.
Crittografare i file più di una volta potrebbe interferire con il ripristino, quindi la maggior parte include un marcatore di qualche tipo per prevenire un secondo attacco.
Bitdefender Anti-Ransomware sfrutta questa tecnica per ingannare specifiche famiglie di ransomware facendole credere di averti già attaccato.
Nota, tuttavia, che questa tecnica non può fare nulla per i nuovi tipi di ransomware.
Quando Webroot SecureAnywhere AntiVirus rileva un processo sconosciuto, inizia a registrare tutte le attività di quel processo e a inviare i dati al cloud per l'analisi.
Se il processo si rivela essere un malware, Webroot ripristina tutto ciò che ha fatto, persino ripristinando l'attività del ransomware.
ZoneAlarm e RansomBuster hanno i propri metodi per il recupero dei file.
Quando il componente anti-ransomware di Acronis True Image elimina un attacco ransomware, può ripristinare i file crittografati dal proprio backup sicuro, se necessario.
Ora un vincitore
CyberSight RansomStopper ha rilevato e bloccato tutti i miei campioni di ransomware del mondo reale senza perdere alcun file.
Ha anche rilevato il mio semplice simulatore di ransomware codificato a mano.
E ha bloccato un attacco di Petya, dove diversi prodotti concorrenti hanno fallito.
In precedenza, RansomStopper mostrava una vulnerabilità al ransomware che viene eseguito solo al momento dell'avvio, ma le mie fonti dicono che questo tipo di attacco sta diventando meno comune e CyberSight da allora ha risolto questo problema.
Altri prodotti gratuiti avevano i loro problemi.
RansomFree ha mancato un campione del mondo reale e Malwarebytes ha consentito a un altro campione di crittografare in modo irreversibile alcuni file prima che il suo rilevamento iniziasse.
RansomBuster è andato peggio, mancando completamente metà dei campioni (sebbene il suo componente Folder Shield proteggesse la maggior parte dei file).
RansomStopper e Check Point ZoneAlarm Anti-Ransomware sono le nostre migliori scelte per la protezione ransomware dedicata.
ZoneAlarm non è gratuito, ma a $ 2,99 al mese non è nemmeno eccessivamente costoso.
Tuttavia, RansomStopper gestisce la protezione completa senza alcun costo.
