תוכן עניינים:
- סגנונות הגנת Ransomware
- תחילת העבודה עם Malwarebytes
- בדיקת הגנת Ransomware
- Ransomware מדומה
- הוסף לארסנל שלך
כלי האנטי-וירוס המלא שלך, ככל הנראה, עושה עבודה טובה מאוד בשמירה על נטול תוכנות זדוניות במחשב האישי שלך. עם זאת, איש אינו מושלם, כך שמדי פעם וירוס או טרויאני חדש לגמרי עלולים לעבור את ההגנה בזמן אמת. גם אז עדכון אנטי-וירוס מנקה בדרך כלל את המצב לפני זמן רב. אבל אם האיום שחלף דרך היה הצפנת תוכנות רנסומיס, אתה בבעיה. בטח, האנטי-וירוס המעודכן יכול להסיר את התוכנית הפוגעת, אך הנזק כבר נעשה. הקבצים שלך נשארים מוצפנים ובלתי נגישים. Beta Anti-Ransomware Beta של Malwarebytes שואף לחסוך לך כאב זה על ידי תפיסת תוכנות כופר כלשהן שהאנטי-וירוס שלך מפספס.
אל תתביישי בגלל ה"בטא "בשם. מוצר חינמי זה נמצא במבחן תמידית ללא הפסקה, ומקבל את כל הטכנולוגיה האחרונה ביותר למלחמה בתוכנת ransomware מבית Malwarebytes. מאוחר יותר, כאשר הוחלקו כתמים גסים כלשהם, החברה מעבירה את הטכנולוגיה הזו למסחרי Anti-Ransomware לעסקים Malwarebytes. זה משביע רצון עם צוות ה- IT, שבדרך כלל מעדיף טכנולוגיה מבוגרת מעט יותר מהקצה החודשי.
באופן טבעי אתה מקבל הגנה מפני תוכנות רנסומיות כחלק מהחלפת האנטי-וירוס המלאה של החברה, Malwarebytes 3.0 Premium. המוצר להגנה מפני רנסומט עצמאי עובד לצד האנטי-וירוס הקיים שלך, פועל לתפוס כל מה שהאנטי-וירוס העיקרי מפספס.
סגנונות הגנת Ransomware
ישנן מספר דרכים שונות שמוצרי אבטחה מיישמים הגנה מ- ransomware. דרך אחת כוללת שליטה בגישה למיקומים מוגנים, סוגי קבצים מוגנים או שניהם. תוכנות ידועות טובות כמו רכיבי Windows ותוכנות Office מקבלות אור ירוק. כאשר אפליקציה לא ידועה מנסה גישה, מוצר האבטחה מזהיר את המשתמש מפני התקפה אפשרית של תוכנות רנסומיות. אם מדובר רק בעורך מסמכים חדש, המשתמש יכול לרשום אותו בלחיצה אחת; אם מדובר בתוכנת כופר, לחיצה נוספת שולחת אותה להסגר.
מוצרים מסוימים פשוט מונעים שינויים בקבצים מוגנים. אחרים, כולל IObit Malware Fighter 5 Pro ו- Panda Security Internet, אפילו מונעים קריאה בלתי מורשית של נתונים מקבצים מוגנים. סוג זה של הגנה מונע גם מגניבת נתונים של סוסים טרויאנים להימנע מהנתונים הפרטיים שלך.
אפשר להעלות על הדעת שתהליך רנסומוברי מסובך עשוי לעשות את מעשיו המלוכלכים על ידי חתרון של תוכנית עם רשימת רשימה, או למצוא דרך אחרת להגיע למגבלות הגישה. גם אם זה היה קורה, מוצר המגלה תוכנות כופר על סמך התנהגותו עדיין יכול לסכל את ההתקפה. ככה עובד Malwarebytes Anti-Ransomware. Cybereason RansomFree נוקטת גישה דומה.
תוכלו למצוא גם שכבות הגנה ספציפיות לתוכנות רansom גם במוצרי אנטי-וירוס סטנדרטיים שונים. Bitdefender ו- Trend Micro כוללים רכיב כזה. איתור תוכנות זדוניות על ידי Webroot SecureAnywhere AntiVirus מבוסס לחלוטין על התנהגות, ומערכת היומן וההחלפה של הכלי הזה לתוכנות לא ידועות יכולה למעשה להפוך התקפת רנסומוור. החברה אכן מתריעה כי השטח הפנוי לביומן ורישום חוזר הוא סופי.
תחילת העבודה עם Malwarebytes
Malwarebytes Anti-Ransomware היא תוכנה זעירה וקלת משקל שמתקינה בג'יפי. החלון הראשי הפשוט שלו כולל רק שלוש כרטיסיות: לוח מחוונים, הסגר והכללות. לוח המחוונים פשוט מאשר שההגנה פעילה, והוא מציע קישור לכיבוי והפעלה של ההגנה. לא תראה שום דבר בהסגר אלא אם כן המוצר מפריע להתקפת תוכנת כופר בפועל.
מדוע תרצה לכלול קובץ מהגילוי? ובכן, מדובר במוצר בטא, ואפשר להעלות על הדעת שמוצר הצפנה לגיטימי עלול להיתפס ברשת שלו. אם אתה נתקל בחיובי כוזב כזה, פשוט הציל אותו מהסגר והכניס אותו לרשימת ההכללות.
בדיקת הגנת Ransomware
בדיקת ההגנה על תוכנות כופר היא קשה יותר מבדיקת הגנת תוכנות זדוניות לשימוש כללי. התוכניות הזדוניות עצמן לפעמים מסתכלות על סימני בדיקה ונמצאות נמוכות. בצד ההפוך, אם אינך נזהר מדוגמאות של ransomware מעולם האמיתי, הם יכולים להימלט מכלא המכונה הווירטואלית שלהם ולגרום נזק אמיתי.
מוצרים כמו Panda Internet Security העובדים על ידי שליטה בגישה לקבצים קלים לבדיקה. יש לי תוכניות בדיקה זעירות המפעילות הגנה מסוג זה.
עם זאת, עם הגנה מבוססת התנהגות, לפעמים הדרך היחידה שלי היא להשתמש בתוכנות כופר אמיתי, בסביבה מבוקרת בקפידה. בדיקות ה- ransomware שלי עדיין מתפתחות. נכון לעכשיו יש לי שלוש דוגמאות בעולם האמיתי, איומים שאספתי לעצמי מאתרים מסוכנים. מבחן מלארבייטס עשה את זה טוב במבחן הידני שלי.
הדגימה הראשונה של תוכנת הכופר היא מצוברחת. לעתים קרובות זה פשוט פועל כתהליך רקע בלי לעשות דבר. ללא התנהגות, לא יכול להיות זיהוי מבוסס התנהגות, ולכן Malwarebytes מקבל מעבר על זה.
מלווארבייטס תפס את השנייה בידיים אדומות, הסגר אותה בהסגר וביקש אתחול מחדש כדי לסיים את הניקוי שלו. לאחר אתחול מחדש, הבחנתי שבמהלך ניתוח התנהגות של Malwarebytes, תוכנת ה- Ransomware הצליחה להצפין כמה קבצים. בעיניי זה נראה כתוצאה טבעית של גילוי מבוסס התנהגות. ללא התנהגות הכופר, אין זיהוי, נכון? עם זאת, איש הקשר שלי ב- Malware bytes אומר שהם "מתקרבים ממש לפתור את זה."
הדגימה השלישית גם נפלה טרף למלווארבייטס. לאחר אתחול מחדש חשבתי לרגע שתוכנת הכופר עדיין פועלת, מכיוון שהיא הציגה את דרישת הכופר שלה כקובץ טקסט, כמסמך HTML ותמונת PNG. עם זאת מתברר כי תוכנת ה- Ransomware פשוט זרקה את הקבצים האלה לתיקיית ההפעלה, כך שהם ייפתחו בעת ההפעלה. לא היה זכר ליישום התוכנה הזדונית עצמה. הנה, שוב, התוכנה הזדונית הצפינה מספר קבצים לפני הגנתם.
Ransomware מדומה
הדרך היחידה והאמינה ביותר לבדיקת איתור תוכנות רנסומריות המבוססת על התנהגות היא באמצעות תוכנות רנסומיז בפועל. כל סימולציה שתכפיל לחלוטין את הפעילות של איום רנסומוור הצפנה תהיה בעצמה תוכנה זדונית. עם זאת, אין זו סיבה למחוק לחלוטין את הבדיקות באמצעות תוכנת Ransomware מדומה.
KnowBe4, חברת הדרכת אבטחה, פרסמה כלי חינמי בשם RanSim, שנועד לבחון את הגנת ה- ransomware שלך. הוא מפעיל מודולים המיישמים עשר טכניקות רנסומוור הצפנה נפוצות, כמו גם שתי טכניקות דומות אך לא מזיקות. בתיאוריה, המוצר הטוב ביותר יחסום את כל טכניקות ה- ransomware וישאיר את אלה שאינם מזיקים לבדם.
כשבדקתי את ההגנה הפעילה של תוכנת הרישומנס המובנית בתוך הדור החדש של Acronis True Image 2017, הוא חסם את כל התקפות המדומות מלבד אחת. כמובן שגיבוי מלא, המשוריין מפני שינוי בלתי מורשה, הוא עזרה נהדרת בהתאוששות מהתקפת תוכנות זדוניות.
RansomFree לא זיהה אף אחת מההתקפות המדומות. מעצביו ציינו כי ההתקפות המדומות משפיעות רק על קבצים בכמה רמות תיקיות מתחת לתיקיית המסמכים, בשום מקום אחר. שום תוכנת כופר מהעולם האמיתי אינה מתנהגת כך.
באשר למלווארבייטס, היא התגוננה באופן פעיל נגד שמונה מתוך 10 התקפות המדומות, אך החטיאה שתיים. בגלל הבעיות בשימוש בתוכנת ransomware מדומה, אני מחשיב את זה כיתרון כאשר מוצר מזהה את המודולים של RanSim, אך אני מתייחס לכישלון RanSim כבלתי אינפורמטיבי, לא כשלילי.
הוסף לארסנל שלך
בטא נגד Malwarebytes Anti-Ransomware הצליח היטב בבדיקות הפשוטות שביצענו. בטח, חלק מהוצרת תוכנות כופר הצפנו כמה קבצים, אך ללא הגנה, זה היה עושה הרבה יותר גרוע. הגנת Ransomware היא בהכרח עניין של שכבות. מה שרכיב אחד החמיץ, אחר עשוי לתפוס. הוספתי את Malwarebytes לארסנל השירותים המגנים על מערכת הייצור העיקרית שלי, יחד עם Norton Internet Security ו- Cybereason RansomFree.