Bien sûr, les ransomwares sont un casse-tête pour les particuliers - qui veulent perdre tous vos progrès sur le grand roman américain? Mais imaginez à quel point c'est pire pour les entreprises, qui risquent de perdre 100000 dollars par heure (ou plus) lorsque le ransomware bloque la production.
Les systèmes de sécurité d'entreprise haut de gamme ont besoin d'une protection puissante contre les ransomwares, et parfois les fournisseurs de ces systèmes rendent cette protection disponible au niveau personnel.
C'est le cas du Heilig Defense RansomOff gratuit, qui utilise une technologie empruntée au haut de gamme Hielig Defense Correlate.
De la même manière, Cybereason RansomFree encapsule la protection contre les ransomwares trouvée dans les produits de niveau entreprise de Cybreason.
Cependant, là où RansomFree, RansomStopper et la plupart des autres outils gratuits spécifiques aux ransomwares réduisent les paramètres et l'interaction de l'utilisateur au strict minimum, RansomOff comprend plusieurs modes et modules qui me déroutent parfois.
RansomOff est un petit téléchargement, et il s'installe rapidement.
Par défaut, il s'exécute en mode simple, décrit comme une protection sans tracas.
Vous pouvez également choisir le mode avancé pour libérer le plein potentiel de RansomOff.
J'ai utilisé les deux modes lors des tests, comme vous le verrez ci-dessous.
Mode simple
Dans le mode simple par défaut, RansomOff s'occupe des affaires entièrement en arrière-plan, sans notification indiquant qu'il a mis fin aux menaces autre qu'une brève animation de l'icône de la zone de notification.
Lorsque vous double-cliquez sur l'icône, une petite fenêtre s'affiche avec des boutons pour afficher les alertes et passer en mode avancé.
Dans ce mode, RansomOff met fin au ransomware, mais il ne tente pas de nettoyage.
Vous pouvez toujours voir ce qu'il a fait en double-cliquant sur l'icône, puis en cliquant sur Afficher les alertes.
La liste des alertes comprend les opérations de nettoyage en attente, que vous pouvez lancer manuellement.
Lors des tests, il a détecté et mis fin à tous mes échantillons de ransomwares réels.
J'ai regardé l'icône animée, vérifié les alertes et demandé le nettoyage dans chaque cas.
Cependant, moins de la moitié des échantillons ont déclenché une alerte Ransomware Detected.
Pour le reste, il a signalé HIPS-Lite Notification, me disant que le programme incriminé a tenté de se configurer pour le lancement au démarrage.
Pour vérifier la cohérence, j'ai exécuté plusieurs utilitaires de la collection que je gère pour les tests de faux positifs, en choisissant ceux dont la fonctionnalité les oblige à se lancer au démarrage.
Dans tous les cas, RansomOff a éliminé ces programmes totalement légitimes.
Je n'ai pas observé ce genre de comportement dans d'autres utilitaires spécifiques aux ransomwares.
Étant donné que la fonction HPS-Lite élimine à la fois les programmes légitimes et malveillants, je peux difficilement appeler cela la détection de ransomwares.
Mode avancé
Pour une exploration plus approfondie, j'ai basculé RansomOff en mode avancé et j'ai répété le test.
Le comportement du programme est très différent dans ce mode.
Lors de la détection du ransomware, il prend le contrôle de l'écran avec un avertissement impossible à ignorer, vous demandant la permission de traiter le problème.
Vous pouvez cliquer pour plus de détails avant de décider.
S'il détecte une modification de la séquence de démarrage ou d'autres actions suspectes, il affiche une notification HIPS-Lite moins stridente et vous demande s'il faut autoriser ou bloquer la modification.
J'ai parcouru à nouveau les exemples, en choisissant Bloquer à tous les avertissements HIPS-Lite.
Les résultats ressemblaient à ce que j'ai vu en mode simple, avec une exception flagrante.
Peut-être en raison du retard impliqué dans l'affichage de sa notification, RansomOff a autorisé un échantillon à crypter les fichiers dans le dossier Documents avant de l'effacer.
J'ai essayé cela plusieurs fois, au cas où ce serait un hasard; cela n'arrivait pas à chaque fois, mais c'était certainement reproductible.
Ensuite, j'ai réessayé les échantillons qui ont déclenché les avertissements HIPS-Lite, en choisissant Autoriser cette fois.
C'était un désastre.
Dire à RansomOff d'autoriser la modification de démarrage l'a également amené à arrêter la surveillance de l'activité des ransomwares.
"La façon dont nous le voyons est à ce moment-là que le processus a été reconnu comme faisant quelque chose et que l'utilisateur a fait un choix d'une manière ou d'une autre", a expliqué mon contact chez Heilig Defence.
"Après tout, l'utilisateur doit être plus intelligent que le logiciel ou, à tout le moins, le faire réfléchir un peu plus avant de le permettre."
Je ne peux pas être d'accord.
Un logiciel de sécurité qui met les décisions critiques entre les mains de l'utilisateur moyen est une erreur, à mon avis.
C'est comme l'ancien modèle de pare-feu personnel, qui rendait l'utilisateur responsable de toutes les décisions quant à savoir si chaque programme devrait être autorisé à accéder au réseau.
D'autres outils de protection contre les ransomwares font le travail sans impliquer les décisions des utilisateurs.
Déterminé à avoir une vue claire des capacités du programme, j'ai désactivé la fonction HIPS-Lite et j'ai répété mes tests une fois de plus.
Cette fois-ci, le produit a détecté et bloqué le comportement du ransomware dans tous les échantillons, un résultat très satisfaisant.
Cependant, le seul exemple gênant a toujours réussi à crypter les fichiers avant que RansomOff ne le frappe.
D'autres tests
J'ai parfois rencontré des programmes de sécurité qui échouent lorsque le ransomware se lance au démarrage.
Je suis content de dire que RansomOff n'en fait pas partie.
Lorsque j'ai défini manuellement quelques échantillons à lancer au démarrage de Windows, cela les a bloqués efficacement.
Pour un contrôle de cohérence très basique, j'ai écrit un petit programme qui crypte tous les fichiers texte dans le dossier Documents à l'aide du cryptage XOR réversible.
De nombreux utilitaires de protection contre les ransomwares ne détectent pas ce programme, car aucun ransomware réel ne chiffrerait de cette manière simple d'esprit.
Mais RansomOff l'a attrapé.
J'ai également chargé le simulateur de ransomware RanSim de KnowBe4.
Cet outil simule 10 techniques utilisées par des ransomwares réels, ainsi que deux activités de chiffrement inoffensives.
En mode simple, je ne pouvais même pas l'installer, car RansomOff l'avait effacé.
En essayant à nouveau en mode avancé avec HIPS-Lite désactivé, j'ai réussi une installation réussie.
Pendant que l'utilitaire de test parcourait ses scénarios, j'ai répondu à 11 avertissements de détection par RansomOff.
À la fin du test, RanSim a signalé une prévention réussie des 10 activités simulées de ransomware, ainsi que l'un des scénarios inoffensifs.
Acronis Ransomware Protection a obtenu exactement le même résultat.
Bloquer les 10 attaques simulées est un gros plus; un faux positif est un petit moins.
Fonctionnalités de protection contre les rançongiciels fantaisie
Je suis habitué aux outils de protection contre les ransomwares qui sont si discrets qu'ils ont à peine une fenêtre principale et parfois aucun paramètre de configuration.
RansomOff en mode avancé est tout à fait un départ, avec plusieurs fonctionnalités sophistiquées que je ne pourrais comprendre qu'en creusant dans la documentation.
Verrouillage de l'application
App Lockdown est un système de protection basé sur une liste blanche, désactivé par défaut, avec plusieurs modes de fonctionnement.
Dans le mode strict Tous les processus, vous devrez valider chaque processus qui se lance à moins qu'il ne soit déjà exempté.
Passant en mode Nouveau processus, RansomOff ne demande une vérification que la première fois qu'un processus s'exécute pendant la session Windows.
Vous pouvez réduire les fenêtres contextuelles en exemptant les processus Windows, les fichiers programme signés numériquement ou les deux.
J'ai activé le verrouillage des applications en mode Tous les processus et lancé Chrome.
J'ai dû valider cinq processus distincts, mais lors d'un lancement ultérieur, ces processus étaient exemptés.
Les utilisateurs experts en technologie peuvent configurer le verrouillage des applications pour qu'il s'active automatiquement lorsqu'un processus spécifié se charge, et éventuellement le désactiver lorsque ce processus se ferme.
Le préréglage Web Lockdown configure App Lockdown pour qu'il s'active lorsqu'une fenêtre de navigateur est active, un peu comme le fonctionnement de VoodooSoft VoodooShield (19,99 $ chez VoodooShield).
Sauvegarde et restauration
La fonction de sauvegarde et de restauration, activée par défaut, vise à sauvegarder les fichiers menacés et, si nécessaire, à les restaurer après une activité de ransomware.
Selon la documentation, "RansomOff fera une copie d'un fichier basé sur certaines actions et l'enregistrera dans un espace protégé." Il propose plusieurs méthodes de restauration, parmi lesquelles la sélection d'un processus pour restaurer les modifications apportées et la recherche de fichiers à restaurer, ainsi qu'une option pour restaurer les fichiers que RansomOff a peut-être supprimés par erreur.
Lors de mes tests, je n'ai jamais vu cette fonctionnalité en action; cela n'a pas aidé avec cet échantillon de ransomware embêtant qui a chiffré mes documents.
La fonction de restauration de Check Point ZoneAlarm Anti-Ransomware (39,95 $ facturés annuellement chez ZoneAlarm) s'est avérée à la fois plus simple et plus efficace.
Dans tous les cas, il a proposé de restaurer tous les fichiers cryptés, et l'a fait avec succès.
Sa seule erreur lors des tests impliquait de signaler l'échec une fois quand il réussissait réellement.
Acronis Ransomware Protection adopte une approche différente de la sauvegarde.
Il crée une sauvegarde cloud cryptée des fichiers dans vos dossiers protégés, jusqu'à 5 Go, et récupère tous les fichiers endommagés par un ransomware après avoir éliminé la menace.
Protection des dossiers
Cliquez sur Dossiers pour afficher la protection basée sur les autorisations de RansomOff pour les dossiers que vous spécifiez.
Comme Bitdefender Antivirus Plus, Trend Micro et quelques autres, il peut empêcher des programmes non autorisés de modifier des fichiers, mais il offre plusieurs autres options.
Vous pouvez lui demander de refuser tout accès aux fichiers du dossier protégé, de masquer l'existence de ces fichiers ou de bloquer le lancement de fichiers exécutables à partir de l'emplacement protégé.
Ce dernier est utile contre les menaces telles que TeslaCrypt, qui dépose un fichier exécutable au nom aléatoire dans le dossier Documents et le lance.
De manière déroutante, vous gérez la protection en ajoutant des dossiers à l'une des cinq listes différentes: Refuser, Tromper, Masquer, Lecture seule et Aucune exécution.
Un dossier ne peut occuper qu'une seule de ces listes à la fois.
Pour commencer, j'ai ajouté le dossier Documents à la liste Refuser.
Cela devrait refuser à la fois l'accès en lecture et en écriture aux fichiers protégés, comme la fonctionnalité similaire de Panda Internet Security.
Cependant, cela n'a rien fait pour empêcher un petit éditeur que j'ai écrit moi-même de lire et de modifier des fichiers.
Il s'avère que je n'y prêtais pas assez attention.
L'écran montrait clairement Protection non activée sous mon dossier sélectionné.
Vous devez également ajouter au moins une application exemptée avant que RansomOff ne démarre sa protection.
J'ai ajouté l'Explorateur Windows à la liste d'exemption, pour activer la protection.
Après cela, le dossier Documents n'apparaissait même pas dans la boîte de dialogue de fichier ouvert de mon petit éditeur.
J'ai sélectionné la protection contre les modifications et déplacé mon dossier protégé dans la liste Lecture seule.
Cette fois, mon petit éditeur a chargé avec succès un fichier texte à partir du dossier protégé, mais une tentative de sauvegarde d'une version modifiée a reçu un message indiquant Erreur d'écriture du flux.
C'est décevant.
Trend Micro RansomBuster et plusieurs autres programmes similaires signalent la tentative d'accès et vous donnent la possibilité de mettre l'application sur liste blanche.
Lorsque vous venez d'installer un nouvel éditeur de document ou de photo, vous pouvez facilement le mettre sur liste blanche à ce ...
