תוכן עניינים:
וִידֵאוֹ: RansomStopper by CyberSight (נוֹבֶמבֶּר 2024)
הגנת Ransomware
כאשר RansomStopper מזהה התקפת כופר, היא מסיימת את התהליך הפוגע ומציגה אזהרה באזור ההודעות. לחיצה על האזהרה מאפשרת לראות איזה קובץ גרם לבעיה. יש אפשרות להסיר תוכניות מרשימת התהליכים החסומים - יחד עם אזהרה שלפיה זה רעיון רע.
ההמתנה לאיתור התנהגות של תוכנות רנסומיות יכולה לפעמים לגרום לכך ש- Ransomware מצפין כמה קבצים לפני סיוםם. כשבדקתי את Malwarebytes, זה אכן הפסיד כמה קבצים בדרך זו. Check Point ZoneAlarm Anti-Ransomware משחזר באופן פעיל כל קבצים מוצפנים. בבדיקה שלי, זה עשה זאת עבור כל מדגם ransomware. עם זאת, RansomStopper עצר את אותן הדגימות מבלי לאפשר קידוד של קבצים כלשהם.
לבדיקת שפיות מהירה השקתי תוכנית מזויפת פשוט של רנסומוור שכתבתי בעצמי. כל מה שהוא עושה זה לחפש קבצי טקסט בתיקיית המסמכים ומתחתם ולהצפין אותם. הוא משתמש בהצפנה פשוטה הפיכה, ולכן הפעלה שנייה משחזרת את הקבצים. RansomStopper תפס אותה ומנע את השיקיות שלה. בינתיים הכל טוב.
זהירות, Live Ransomware
הדרך הבטוחה היחידה לבחון הגנה על רנסומווער מבוססת התנהגות היא באמצעות תוכנת ransomware חיה. אני עושה זאת בזהירות רבה, מבודד את מערכת בדיקת המכונות הווירטואליות שלי מכל תיקיות משותפות ומהאינטרנט.
בדיקה זו יכולה להיות מקשה אם המוצר נגד תוכנת הכלי לא מצליח לזהות אותה, אך בדיקת RansomStopper שלי עברה בצורה חלקה. כמו ZoneAlarm ו- Malwarebytes, RansomStopper תפס את כל הדגימות, ולא מצאתי קבצים שהוצפנו לפני שזיהו את ההתנהגות. Cybereason RansomFree עשה די טוב, אבל זה פספס אחד.
אני גם בודק את השימוש ב- RanSim של KnowBe4, כלי שמדמה 10 סוגים של התקפת ransomware. הצלחה במבחן זה היא מידע שימושי, אך כישלון יכול פשוט לגרום לכך שהגילוי מבוסס ההתנהגות קבע נכון כי הסימולציות אינן תוכנות רנסומיות אמיתיות. כמו RansomFree, RansomStopper התעלם מההדמיות.
סכנת האתחול נפתרה
שמירה מתחת לרדאר היא עניין גדול עבור תוכנות כופר. במידת האפשר, היא עושה את מעשיה המלוכלכים בשקט, רק מתקדמת עם דרישת הכופר לאחר הצפנת הקבצים שלך. קבלת הרשאות מנהל מקלה על עבודת ransomware, אך בדרך כלל להגיע למצב זה דורש אישור מהמשתמש. יש דרכים לעקיפת הדרך כדי לקבל את ההרשאות הללו בשקט. אלה כוללים סידור פיגי -בק בתהליך Winlogon בזמן האתחול, או קביעת משימה מתוזמנת לזמן האתחול. בדרך כלל, תוכנת הכופר פשוט מתאימה להפעלה בעת האתחול ואז מאלצת אתחול מחדש, מבלי לבצע משימות הצפנה.
בבדיקות הקודמות שלי גיליתי ש- Ransomware יכול להצפין קבצים בזמן האתחול לפני ש- RansomStopper יתחיל להיכנס. תוכנית ההצפנה המזויפת שלי שלי הצליחה את ההישג הזה. הוא הצפין את כל קבצי הטקסט בתיקיית המסמכים ומתחתם, כולל קובצי טקסט פיתיון של RansomStopper. (כן, הקבצים האלה נמצאים בתיקיה ש- RansomStopper מסתיר באופן פעיל, אבל יש לי את השיטות שלי…) זה גם החמיץ מדגם ransomware מעולם האמיתי שהגדרתי להשיק בעת ההפעלה.
מעצבי CyberSight בדקו מספר פתרונות לבעיה זו ושחררו גרסה חדשה שמקדימה את תוכנת ה- Ransomware של האתחול. בחנתי את זה; זה עובד, מסיר את הכתם היחיד בתוצאות הבדיקה סטרלינג של RansomStopper.
RansomFree פועל כשירות, לכן הוא פעיל לפני כל תהליך רגיל. כאשר ביצעתי את אותה הבדיקה, והגדרתי מדגם ransomware מהעולם האמיתי להשקה בעת ההפעלה, RansomFree תפס אותה. גם מבחן Malwarebytes עבר מבחן זה. RansomBuster זיהה את התקפת זמן האתחול ושחזר את הקבצים המושפעים.
כדי לחקור עוד את הבעיה, השגתי דוגמה מכלי הניתוח Petya שגרמו לצרות בתחילת השנה. זן מסוים זה קורס את המערכת ואז מדמה תיקון זמן אתחול על ידי CHKDSK. מה שהיא בעצם עושה זה להצפין את הכונן הקשיח. Malwarebytes, RansomFree ו- RansomBuster כולם לא הצליחו למנוע את ההתקפה הזו. RansomStopper תפס אותו לפני שהוא יכול לגרום להתרסקות המערכת - מרשימה! ZoneAlarm גם מנע את התקפתה של פטיה. כדי להיות הוגנים כלפי האחרים, זה אינו תוכנת ransomware של הצפנת קבצים. במקום זאת, היא נועלת את המערכת כולה על ידי הצפנת הכונן הקשיח.
לאחר שאלתי את אנשי הקשר שלי, נודע לי שהתקפות של תוכנות רנסומיז אתחול בזמן כולל פטיה הופכות פחות נפוצות. אף על פי כן, הוספתי את המבחן הזה לרפרטואר שלי.
טכניקות אחרות
גילוי מבוסס התנהגות, כאשר הוא מיושם כראוי, הוא דרך מצוינת להילחם בתוכנות כופר. עם זאת, זו לא הדרך היחידה. Trend Micro RansomBuster ו- Bitdefender Antivirus Plus הם מאלו שמסכלים כופר על ידי בקרת גישה לקבצים. הם מונעים מתוכניות לא מהימנות לבצע כל שינוי בקבצים בתיקיות מוגנות. אם תוכנית לא אמינה מנסה לשנות את הקבצים שלך, תקבל הודעה. בדרך כלל, אתה מקבל את האפשרות להוסיף את התוכנית הלא ידועה לרשימה המהימנה. זה יכול להיות שימושי אם התוכנית החסומה הייתה עורך הטקסט או הצילום החדש שלך. Panda Internet Security מרחיק לכת עוד יותר, ומונע מתוכניות לא מהימנות אפילו לקרוא נתונים מקבצים מוגנים.
נוכלים של Ransomware צריכים לדאוג שהם יוכלו לפענח קבצים כאשר הקורבן ישלם. הצפנת קבצים לא פעם עלולה להפריע להתאוששות, כך שרובם כוללים סמן מסוג כלשהו כדי למנוע התקפה שנייה. Bitdefender Anti-Ransomware ממנף את הטכניקה הזו כדי לשטות במשפחות רנסומריות ספציפיות לחשוב שהם כבר תקפו אותך. עם זאת, שים לב שטכניקה זו אינה יכולה לעשות דבר בנוגע לסוגים חדשים של תוכנות רנסומריות.
כאשר Webroot SecureAnywhere AntiVirus נתקל בתהליך לא ידוע, הוא מתחיל לרשום את כל הפעילויות על ידי אותו תהליך, ולשלוח נתונים לענן לצורך ניתוח. אם התברר כי הוא תוכנה זדונית, Webroot מחזיר את כל מה שהוא עשה, אפילו מפעיל את הפעילות של ransomware. ל- ZoneAlarm ו- RansomBuster יש שיטות משלהם לשחזור קבצים. כאשר המרכיב נגד כופר בתוכנה של Acronis True Image מגרם להתקפת תוכנת כופר, הוא יכול לשחזר קבצים מוצפנים מגיבוי מאובטח משלו במידת הצורך.
עכשיו ווינר
CyberSight RansomStopper זיהה וחסם את כל דגימות הנסיון שלי בעולם האמיתי מבלי לאבד קבצים. הוא גם זיהה את סימולטור ה- ransomware הפשוט המקודד שלי. והיא חסמה את ההתקפה של פטיה, שם נכשלה כמה מוצרים מתחרים.
מוקדם יותר, RansomStopper הציגה פגיעות בנושא תוכנות רנסומיות שרצות רק בזמן האתחול, אך המקורות שלי טוענים כי התקפה מסוג זה הופכת פחות נפוצה, ומאז CyberSight תיקן את הבעיה. למוצרים בחינם אחרים היו בעיות משלהם. RansomFree החמיץ מדגם אחד מהעולם האמיתי, ו- Malwarebytes אפשר לדגימה אחרת להצפין באופן בלתי הפיך כמה קבצים לפני שהזיהוי שלו נכנס פנימה. RansomBuster החמיר את המצב, והחמיץ מחצית מהדגימות לחלוטין (אם כי רכיב ה- Folder Shield שלה הגן על רוב הקבצים).
RansomStopper ו- Check Point ZoneAlarm Anti-Ransomware הם הבחירות המובילות שלנו להגנה על תוכנות כופר. ZoneAlarm אינו בחינם, אך במחיר של 2.99 $ לחודש הוא גם לא יקר במיוחד. ובכל זאת, RansomStopper מצליחה לשמור על הגנה מלאה ללא עלות.
