סקירה ודירוג של כופר בהליג על כופר

בטח, תוכנת כופר היא כאב ראש עבור אנשים - מי רוצה לאבד את כל ההתקדמות שלך ברומן האמריקאי הגדול? אך דמיין כמה זה גרוע יותר לעסקים, שעשויים להפסיד 100, 000 $ לשעה (או יותר) כאשר תוכנת הכלי רנסומיאם נועלת את הייצור. מערכות אבטחה עסקיות מתקדמות זקוקות להגנה עוצמתית מפני תוכנות רנסומיות, ומדי פעם מספקי הספקים של מערכות כאלה הגנה זו זמינה ברמה האישית. זה המקרה עם Heilans Defense RansomOff החינמית, המשתמשת בטכנולוגיה שהושאלה מהמתאם הגבוה של הייליג ההגנה.

באופן דומה, Cybereason RansomFree מכסה את ההגנה על תוכנת הכופר המצויה במוצרי הארגון ברמת הארגון. עם זאת, במקום בו RansomFree, RansomStopper ורוב הכלים האחרים הספציפיים לתוכנות ransomware החינמיות מפחיתים הגדרות ואינטראקציה עם משתמשים למינימום, RansomOff כוללת מספר מצבים ומודולים שבלבלו אותי אפילו לעיתים.

RansomOff הוא הורדה קטנה, והוא מתקין במהירות. כברירת מחדל, הוא פועל במצב פשוט, המתואר כ"הגנה ללא טרחה ". אתה יכול גם לבחור במצב מתקדם כדי "לשחרר את מלוא הפוטנציאל של RansomOff." השתמשתי בשני המצבים בבדיקה, כפי שתראה בהמשך.

מצב פשוט

במצב 'ברירת המחדל הפשוט', RansomOff דואג לעסקים לחלוטין ברקע, ללא הודעה על כך שהפסיקה איומים מלבד הנפשה קצרה של סמל אזור ההודעות. כאשר אתה לוחץ פעמיים על הסמל, הוא מציג חלון קטן עם כפתורים להצגת התראות וכדי לעבור למצב מתקדם.

במצב זה, RansomOff מסיים את תוכנת ה- ransom, אך הוא אינו מנסה לבצע ניקוי. אתה תמיד יכול לראות מה זה עשה על ידי לחיצה כפולה על הסמל ואז לחיצה על הצג התראות. רשימת ההתראות כוללת פעולות ניקוי ממתינות, שתוכלו להפעיל ידנית.

בבדיקה, הוא זיהה והפסיק את כל דוגמאות הדגימה שלי לניתוח תוכנות רנסומיות. חיפשתי אחר הסמל המונפש, בדקתי את ההתראות וביקשתי ניקוי בכל מקרה. עם זאת, פחות ממחצית הדגימות הפעילו התראה על גילוי Ransomware. להמשך, היא דיווחה על HIPS-Lite Notification ואמרה לי שהתוכנית הפוגעת ניסתה להגדיר את עצמה להשקה בעת ההפעלה.

כבדיקת שפיות, ניהלתי כמה כלי עזר מהאוסף שאני מחזיקה לצורך בדיקות חיוביות כוזבות, ובחרתי כאלה שפונקציונליות שלהן מחייבת הפעלה בהפעלה. בכל מקרה, RansomOff ביטלה את התוכניות הלגיטימיות לחלוטין. לא ראיתי התנהגות מסוג זה בכלי שירות אחרים הספציפיים לתוכנות רנסומ. בהתחשב בכך שתכונת ה- HPS-Lite מבטלת תוכניות לגיטימיות וגם זדוניות, אני בקושי יכול לקרוא לזה גילוי תוכנת ransomware.

מצב מתקדם

להמשך בדיקה, העברתי את RansomOff למצב מתקדם וחזרתי על הבדיקה. התנהגות התוכנית שונה מאוד במצב זה. בעת איתור תוכנות כופר, הוא משתלט על המסך באזהרה בלתי אפשרית להתעלמות, ומבקש את רשותך להתמודד עם הבעיה. אתה יכול ללחוץ לפרטים נוספים לפני שתחליט. אם הוא מגלה שינוי ברצף ההפעלה, או פעולות חשודות אחרות, הוא מציג התראה HIPS-Lite פחות נוקשה ושואל אם לאפשר או לחסום את השינוי.

עברתי שוב דרך הדגימות ובחרתי בבלוק בכל אזהרות HIPS-Lite. התוצאות דומות למה שראיתי במצב פשוט, למעט יוצא דופן. אולי בגלל העיכוב הכרוך בהצגת ההודעות שלו, RansomOff אפשרה לדוגמה אחת להצפין את הקבצים בתיקיית המסמכים לפני שחיסקה. ניסיתי זאת מספר פעמים, למקרה שזה היה דביק; זה לא קרה בכל פעם, אבל זה בהחלט ניתן לחזור.

בשלב הבא ניסיתי שוב את הדגימות שהפעילו אזהרות HIPS-Lite ובחרתי באפשרות אפשר הפעם. זה היה אסון. אמירת RansomOff כדי לאפשר את שינוי ההפעלה גרמה לה גם להפסיק את המעקב אחר פעילות של תוכנות Ransomware. "הדרך בה אנו רואים את זה היא באותה נקודה שהתהליך הודה בכך שהוא עושה משהו והמשתמש עשה בחירה בצורה כזו או אחרת", הסביר הקשר שלי ב- Heilig Defense. "אחרי הכל, המשתמש צריך להיות חכם יותר מהתוכנה או לכל הפחות, גורם לו לחשוב קצת יותר לפני שהוא מאפשר זאת."

אני לא יכול להסכים. תוכנת אבטחה ששמה החלטות קריטיות בידי המשתמש הממוצע היא טעות בעיניי. זה כמו מודל חומת האש האישי הישן, שהפך את המשתמש לאחראי לכל ההחלטות האם יש לאפשר לכל תוכנית לגשת לרשת. כלים להגנת תוכנות רנסומטיות אחרות מבצעים את העבודה מבלי לערב החלטות משתמש.

נחוש לקבל תצוגה ברורה של יכולות התוכנית, כיביתי את התכונה HIPS-Lite וחזרתי על הבדיקות שלי פעם נוספת. הפעם, המוצר זיהה וחסם התנהגות של ransomware בכל הדגימות, תוצאה מספקת מאוד. עם זאת, הדגימה הבעייתית אחת עדיין הצליחה להצפין קבצים לפני ש- RansomOff דפק אותה.

עוד נסיונות

מדי פעם נתקלתי בתוכניות אבטחה שנכשלות כש ransomware מופעל בעת ההפעלה. אני בבקשה לומר ש- RansomOff הוא לא כזה. כאשר קבעתי ידנית כמה דוגמאות להפעלה בהפעלה של חלונות, זה חסם אותן ביעילות.

לבדיקת שפיות בסיסית מאוד, כתבתי תוכנית קטנה שמצפינה את כל קבצי הטקסט בתיקיית המסמכים באמצעות הצפנת XOR הפיכה. כלי עזר רבים להגנת תוכנות כופר אינם מזהים תוכנית זו, מכיוון ששום תוכנת כופר לא תצפין באופן פשוט אופקי זה. אבל RansomOff תפס את זה.

העמסתי גם את סימולטור ה- Ransomware RanSim מ- KnowBe4. כלי זה מדמה 10 טכניקות המשמשות את תוכנת ransomware בפועל, יחד עם שתי פעילויות הצפנה לא מזיקות. במצב פשוט לא יכולתי אפילו להתקין אותו, מכיוון ש- RansomOff מחק אותו. מנסה שוב במצב מתקדם עם HIPS-Lite כבוי, הצלחתי להתקין מוצלח.

בעוד כלי השירות לבדיקה עבר את התרחישים שלו, עניתי ל -11 אזהרות גילוי של RansomOff. בסיום הבדיקה, RanSim דיווחה על מניעה מוצלחת של כל 10 פעילויות ה- ransomware המדומות, יחד עם אחד התרחישים התמימים. Acronis Ransomware Protection הבקיע בדיוק את אותו הדבר. חסימת כל 10 ההתקפות המדומות היא יתרון גדול; חיובי שווא אחד הוא מינוס קטן.

מאפייני הגנת Ransomware

אני רגיל לכלי הגנה על תוכנות רנסומיות שהם כל כך לא פולשניים שבקושי יש להם חלון ראשי, ולפעמים אין להם הגדרות תצורה בכלל. RansomOff במצב מתקדם הוא די יציאה, עם כמה תכונות מהודרות שיכולתי רק לעקוף על ידי חפירה בתיעוד.

נעילת אפליקציה

נעילת האפליקציה היא מערכת הגנה מבוססת-רשימת לבנים, מושבתת כברירת מחדל, עם מספר מצבי פעולה. במצב קפדני של כל התהליכים, תצטרך לאשר כל תהליך שיוצא אלא אם כן הוא כבר קיבל פטור. לאחר רופף למצב תהליך חדש, RansomOff מבקש רק לאמת בפעם הראשונה שתהליך מופעל במהלך הפעלת Windows. אתה יכול לכרות על חלונות קופצים על ידי פטור מתהליכי Windows, קבצי תוכניות חתומים דיגיטלית או שניהם.

הדלקתי את נעילת האפליקציה במצב כל התהליכים והפעלתי את Chrome. הייתי צריך אישור לחמישה תהליכים ברורים, אך בהשקה שלאחר מכן התהליכים האלה היו פטורים. משתמשים בעלי ניסיון טכני יכולים לקבוע את התצורה של נעילת האפליקציה להפעלה אוטומטית כאשר טעינה של תהליך מוגדר, ובאופן אופטיבי להשביתם כאשר אותו תהליך נסגר. קביעה מוגדרת מראש של נעילת האינטרנט מגדירה את נעילת האפליקציה להפעלה כאשר חלון דפדפן פעיל, בדומה לאופן שבו VoodooSoft VoodooShield עובד.

גיבוי ושחזור

תכונת הגיבוי והשחזור, המאפשרת כברירת מחדל, מכוונת לגבות קבצים מאוימים, ובמידת הצורך, לשחזרם לאחר פעילות תוכנת ransomware. על פי התיעוד, "RansomOff תעשה עותק של קובץ על סמך פעולות מסוימות וישמור אותו במרחב מוגן." הוא מציע שיטות שחזור מרובות, ביניהן בחירת תהליך לשחזור שינויים שביצעה וחיפוש אחר קבצים הזקוקים לשחזור, כמו גם אפשרות לביטול מחיקה של קבצים שייתכן ש- RansomOff נמחק בטעות. בבדיקות שלי, מעולם לא ראיתי את התכונה הזו בפעולה; זה לא עזר עם אותה מדגם ransomware מסורבל אחד שהצפין את המסמכים שלי.

תכונת השחזור ב- Check Point ZoneAlarm Anti-Ransomware הוכחה כפשוטה ויעילה יותר כאחד. בכל מקרה, היא הציעה לשחזר קבצים מוצפנים כלשהם, ועשתה זאת בהצלחה. השגיאה היחידה שלה בבדיקה כללה כשל בדיווח פעם אחת כשהיא הצליחה.

Acronis Ransomware Protection נוקטת בגישה אחרת בגיבוי. זה יוצר גיבוי ענן מוצפן של הקבצים בתיקיות המוגנות שלך, בשווי של עד 5 ג'יגה-בתים, ומשחזר את כל הקבצים שנפגעו על ידי ransomware לאחר ביטול האיום.

הגנת תיקיות

לחיצה על תיקיות מעלה את ההגנה מבוססת ההרשאות של RansomOff לתיקיות שאתה מציין. בדומה ל- Bitdefender Antivirus Plus, Trend Micro, וכמה אחרים, הוא יכול למנוע מתוכניות לא מורשות לשנות קבצים, אך הוא מציע כמה אפשרויות אחרות. אתה יכול למנוע ממנו גישה לקבצים בתיקיה המוגנת, להסתיר את קיומם של קבצים אלה או לחסום הפעלת קבצים הפועלים מהמיקום המוגן. אחרון זה שימושי כנגד איומים כמו TeslaCrypt, שמפיל קובץ הפעלה בשם אקראי בתיקיית המסמכים ומשגר אותו.

באופן מבלבל, אתה מנהל הגנה על ידי הוספת תיקיות לאחת מחמש רשימות שונות: דחה, הונאה, הסתר, קריאה בלבד וללא ביצוע. תיקיה יכולה להכיל רק אחת מהרשימות הללו בכל פעם. כדי להתחיל, הוספתי את תיקיית המסמכים לרשימה דחה. זה אמור לשלול גישה לקריאה וגם לכתיבה לקבצים מוגנים, כמו התכונה הדומה ב- Panda Internet Security. עם זאת, זה לא עשה דבר כדי למנוע מעורך זעיר שכתבתי לעצמי לקרוא ולשנות קבצים.

מסתבר שלא הקדשתי מספיק תשומת לב. המסך הראה בבירור "הגנה לא מופעלת" מתחת לתיקיה שנבחרה. עליך להוסיף לפחות בקשה פטורה אחת לפחות לפני ש- RansomOff יתחיל בהגנתה. הוספתי את סייר Windows לרשימה הפטורה, כדי לאפשר הגנה. לאחר מכן, תיקיית המסמכים אפילו לא הופיעה בתיבת הדו-שיח של הקבצים הפתוחים של העורך הזעיר שלי.

בחרתי בשינוי הגנה והעברתי את התיקיה המוגנת שלי לרשימה לקריאה בלבד. הפעם העורך הזעיר שלי העמיס בהצלחה קובץ טקסט מהתיקיה המוגנת, אך ניסיון לשמור גרסה ששונתה קיבל הודעה שאומרת "שגיאת כתיבת זרם." זה מאכזב. Trend Micro RansomBuster וכמה תוכניות דומות אחרות מדווחות על ניסיון הגישה ונותנות לך הזדמנות להריץ את היישום. לאחר שהתקנת זה עתה מסמך או עורך תמונות חדש, אתה יכול בקלות להוסיף אותו לרשימה בשלב זה.

בתהליך ניסוי העורך הזעיר שלי, גיליתי קבצים רבים בתיקיית המסמכים שפשוט לא הופיעו בסייר Windows. אכן, כמו RansomFree ו- CyberSight RansomStopper, RansomOff משתמש בקבצי "פיתיון" כדי לסייע בזיהוים. בדרך כלל זה מסתיר אותם מהעין, כמו RansomStopper, אך הם מופיעים במצבים מסוימים.

זקוק לכוונון

מרבית כלי ההגנה הספציפיים ל- ransomware הם יעילים סופר, מבצעים את עבודתם בשקט, עם מעט צורך באינטראקציה או תצורה של משתמשים. התקנת כלי כזה לצד הגנת האנטי-וירוס הקיימת שלך מעניקה לך שכבת הגנה משנית פשוטה. RansomOff מורכב בהרבה מכל מתחרותיה, עם הגדרות ותכונות מתקדמות המבלבלות ללא קריאה מעמיקה של המסמכים. בבדיקה, הוא זיהה את כל דגימות ה- ransomware, אך אפשר לאחד מהם להצפין קבצים למרות הגילוי.

טכנאים עשויים ליהנות מזה, אך נכון לעכשיו זה פשוט מורכב מדי עבור המשתמש הממוצע. בצד הוורדרד, המפתחים ממהרים לתקן כל בעיה, אפילו מעדכנים את התוכנית כדי לתקן כמה בעיות במהלך הסקירה שלי. אני מצפה לגרסה שאינה דורשת כל כך הרבה מהמשתמש הממוצע.

עם ממשק פשוט יותר ושחזור מעולה, צ'ק פוינט ZoneAlarm Anti-Ransomware היא בחירת העורכים להגנה על תוכנות רנסומיות. אם לשלם עבור כלי אבטחה נוסף אינו מה שקרה לך, CyberSight RansomStopper הוא בחינם, וזה גם בחירת העורכים בתחום זה.