סקירה ודירוג של מיקרו רנסומבסטר מגמה

התפרצות הרנסומוור של BadRabbit האחרונה השפיעה בעיקר על אנשים ברוסיה ובסביבתה, לא כל כך בארה"ב, אך אל תתנו לזה לגרום לך שאננות. מי יודע לאן תיפגע ההתקפה הבאה? אתה זקוק להגנה מפני תוכנת ransomware, וייתכן כי האנטי-וירוס שלך לא מספיק. Trend Micro RansomBuster מציע שכבות רבות של הגנה, וזה בחינם לשימוש אישי ועסקי כאחד. עם זאת, הבדיקות שלנו מראות שהשכבות אינן יעילות באותה מידה.

RansomBuster זמין להורדה בחינם, והוא גם מרכיב במוצרי האנטי-וירוס ואבטחת האבטחה של Trend Micro. באופן דומה, העצמאי Cybereason RansomFree הוא גם מרכיב בסוויטת האבטחה בקנה מידה המלא של Cybereason.

כמו RansomFree ו- Malwarebytes Anti-Ransomware Beta - שהוא גם בחינם - RansomBuster אמור לשמש לצד האנטי-וירוס הרגיל שלך. שני המוצרים הללו מתמקדים באיתור תוכנות רנסומ בהתבסס על התנהגותם; RansomFree הכניסה קבצי פיתיון במקומות אסטרטגיים כדי לעזור באיתורם, כפי שאסביר. RansomBuster כולל גם גילוי מבוסס התנהגות, אך זו רק אחת המיומנויות שלה.

אם RansomBuster מגלה אפילו אפשרות קלושה לפעילות ransomware, הוא מבצע גיבוי מאובטח של הקבצים המושפעים. בנקודה שהאפשרות הופכת לוודאות, היא מסיימת את תוכנת הכופר ומשתמשת בגיבוי כדי לשחזר קבצים שנפגעו במהלך הניתוח שלה. Check Point ZoneAlarm Anti-Ransomware משחזר קבצים מושפעים באופן דומה.

אחת הדרכים הפשוטות ביותר למנוע מ- Ransomware להצפין קבצים בתיקיית המסמכים (או תיקיות רגישות אחרות) היא פשוט לאסור את כל השינויים על ידי תוכניות לא מורשות. אתה משתמש במעבד התמלילים או בעורך התמונות המהימן שלך כמו תמיד, אך רכיב ה- Folder Shield מונע גישה על ידי כל תוכנית לא ידועה. Bitdefender Antivirus Plus כולל תכונה דומה, בעוד שפנדה אבטחת אינטרנט אפילו אוסרת על אנשים בלתי ידועים לקרוא את הקבצים שלך.

תחילת העבודה עם RansomBuster

ההתקנה מהירה ופשוטה. לאחר ההתקנה התוכנית תנחה אותך לבחור בתיקיות שברצונך להגן. תיקיית המסמכים נבחרת כברירת מחדל, אך אל תתפרע מדי ותוסיף עוד תיקיות. תוכלו ללמוד מהר כי המהדורה החינמית הזו יכולה להגן רק על שתי תיקיות. בהתחלה זה נראה כמו מגבלה משמעותית. מאוחר יותר הבנתי שפשוט בחירת תיקיית C: \ משתמשים צריכה להגן על מרבית המסמכים החשובים שלך.

בחירת התיקיות היא אפשרות התצורה היחידה; זוהי תוכנית מאוד פשוטה וממוקדת. לאחר שעשית את הבחירה הזו, RansomBuster פשוט פועל ברקע ולא דורש שום אינטראקציה נוספת אלא אם כן הוא נתקל בהתקפה.

בדיקת מגן תיקיות

לבדיקת שפיות מהירה השקתי עורך טקסט זעיר שכתבתי בעצמי. התוכנית הזו לא קיימת בשום מקום אלא במחשב הבדיקה שלי, ולכן היא בהחלט מתאימה כתוכנית לא ידועה. ניסיתי לשנות כמה קבצי טקסט בתיקיית המסמכים. RansomBuster דיווחה כראוי על גישה לא מורשית, נותנת לי את האפשרות לחסום גישה זו או להוסיף את התוכנית לרשימה המהימנה. לאחר זמן קצר הוא בחר באופן אוטומטי באפשרות החסימה. אותו דבר קרה כשניסיתי תוכנית פשוטה עם קידוד יד המדמה הצפנת התנהגות של ransomware.

לאחר מכן הוצאתי את התותחים הגדולים - שש דוגמאות מדגם כופר של ממש. בתחילה, הדברים נראו טוב. מגן התיקיות חסם חמש מהדגימות, ואילו איתור מבוסס התנהגות תפס את השישי לפני שהיה מסוגל אפילו לעורר תגובה ממגן התיקייה. ציינתי שאם אתה בטעות בוחרת לסמוך על תוכנית שמתגלה ככלי כופר, מערכת הגילוי מבוססת ההתנהגות מתעלמת ממנה. קרא את ההודעות האלה בעיון, ורק סמוך בתוכניות שאתה בטוח בהן.

מבט מקרוב גילה שהדברים לא היו כל כך מטומטמים. אחת מדוגמאות הכופר הצפינה קובץ בתיקיה בשולחן העבודה לפני שנתפסה על ידי מגן התיקיות, מכיוון ששולחן העבודה לא היה מוגן. אחר הצפין תריסר קבצים בתיקיית שולחן העבודה ומתחתיו, והפיל הערות כופר בכמה מהם. ציינתי שהקבצים המושפעים הם סוגים שהכי נחשבו פחות חשובים. הם כללו קיצורי דרך, קבצי עזרה, קבצי יומן וכמה קבצי CSV. איש הקשר שלי ב- Trend Micro אישר כי סוגים אלה אינם נמנים על כמעט 40 סוגי הקבצים שמערכת הגילוי מבוססת ההתנהגות עוקבת אחריה.

בדיקת גילוי מבוסס התנהגות

תיקיית מגן יכולה להגן רק על תוכן של שתי תיקיות, אך מערכת הגילוי מבוססת התנהגות שמה לה למטרה לסמן התנהגות דמויית ransomware, לא משנה היכן היא מתרחשת. לבדיקה ספציפית לגילוי מבוסס התנהגות, השבתתי את מגן התיקיות וחזרתי על בדיקות הכופר שלי בעולם האמיתי. התוצאות לא היו יפות.

RansomBuster אכן התקרבה לשלוש משש הדגימות. זה קרא לאחד מהם חשוד, והפסיק אותו לפני שהוא יכול היה לנקוט בפעולות מזעריות. הוא זיהה את השניים האחרים כ- ransomware, רשם את הקבצים שהוצפנו ודיווח על התאוששות מוצלחת.

עם זאת, שלושת הדוגמאות האחרות רצו משתוללות, מצפנות קבצים ימינה ושמאלה ומציגות את תווי הכופר שלהם, והכל ללא הצצה מ- RansomBuster. נבדק עם אותן דוגמאות, ZoneAlarm זיהה את כל ששת ושחזר את כל הקבצים. השגיאה היחידה של ZoneAlarm? באחד המקרים היא דיווחה כי היא לא הצליחה לשחזר את כל הקבצים, כאשר למען האמת היא לא נכשלה.

ההגנה מפני תוכנות הכספים המובנית בתוך Acronis True Image גילתה את כל הדגימות מלבד אחת, ושחזר את כל הקבצים המושפעים מהגיבוי המקוון המאובטח שלה. RansomFree גם זיהה את כולם מלבד אחד. Malwarebytes זיהה את כולם, אך במקרה אחד תוכנת ה- Ransomware הצפינה כמה קבצים לפני שנוטרלה.

תוצאות מעורבות

אני מעריך את העובדה ש- Trend Micro מציע את RansomBuster בחינם. אני רק מאחל שזה יעבוד טוב יותר. תיקיית מגן אפקטיבית, אך בבדיקת הגילוי מבוסס התנהגות לא היטיב. אם אתה חובב טרנד מיקרו גדול אתה עשוי לשקול אותו. אבל אם אתה חובב Trend Micro גדול, סביר להניח שכבר יש לך הגנה זו באנטי-וירוס או בחבילת האבטחה שלך.

בחירת העורכים שלנו להגנה על תוכנות רנסומיות היא ZoneAlarm Anti-Ransomware. זה לא בחינם, אבל במחיר של 2.99 דולר לחודש הוא לא ישבור את הבנק, והוא הגן בהצלחה כנגד כל דוגמאות הדגימה שלנו למוצרי ransomware. גרסת הביטא של Malwarebytes Anti-Ransomware בחינם גילתה גם את כל הדגימות, אם כי היא איבדה כמה קבצים להצפנה, ו- Cybereason RansomFree איתרה בהצלחה וחסמה את כולם פרט לאחד. אם ברצונך להגדיל את ההגנה שלך מפני תוכנות הרינסומבר מעבר למה שמובנה באנטי-וירוס שלך, אחד מכלי השירותים האלה הוא בחירה טובה יותר.