Lar Rever Revisão e avaliação do zonealarm anti-ransomware point point

Revisão e avaliação do zonealarm anti-ransomware point point

Índice:

Vídeo: ZoneAlarm Anti Ransomware Tested! (Outubro 2024)

Vídeo: ZoneAlarm Anti Ransomware Tested! (Outubro 2024)
Anonim

O objetivo do ransomware de criptografia de arquivos não é desativar o computador. Você precisará desse computador trabalhando para pagar o resgate, afinal. Os arquivos mais vulneráveis ​​são seus documentos, imagens e outros arquivos pessoais; portanto, alguns produtos impedem o ransomware ao proibir alterações não autorizadas nesses arquivos. O Bitdefender Antivirus Plus, o Trend Micro RansomBuster e o Panda Internet Security estão entre os produtos que usam esse tipo de proteção. Quando um processo tenta o acesso não autorizado, você recebe uma notificação. Se o seu novo utilitário de edição de imagens acionou o aviso, basta adicioná-lo à lista confiável. Mas se o aviso não corresponder a qualquer coisa que você esteja fazendo, bloqueie-o!

O Panda Dome Advanced vai um passo além, bloqueando até o acesso somente leitura por programas não autorizados. Além de manter o ransomware fora, esse nível de proteção também pode servir para impedir Trojans que roubam dados.

Antes de uma solução de segurança poder analisar o comportamento de um programa em busca de sinais reveladores de ransomware, ele deve observar algum comportamento. Durante esse período de análise, o invasor pode muito bem criptografar alguns arquivos, ou mesmo muitos arquivos. O Acronis Ransomware Protection inclui detecção baseada em comportamento, juntamente com a funcionalidade central de backup, mas também pode restaurar automaticamente todos os arquivos criptografados a partir do backup online seguro. O ZoneAlarm também visa restaurar todos os arquivos atingidos pelo ransomware.

Introdução ao ZoneAlarm Anti-Ransomware

Você pode usar este produto gratuitamente por 30 dias e nem precisa fornecer informações do cartão de crédito. Você pode cancelar sem nenhum custo até o prazo de 30 dias, mas depois pagará US $ 1, 99 por mês.

A instalação é rápida e simples. Em minutos, você vê a grande e super simples janela principal. Tudo o que diz é que está protegendo seus arquivos contra ransomware. Não há configurações, nenhum registro, nada além de uma tela simples e tranquilizadora. Você pode minimizar o programa até seu ícone na área de notificação e nunca mais pensar nisso… até que o ransomware ataque. Você pode perceber alguns novos arquivos na pasta Documentos e em outros lugares; como o Cybereason RansomFree e o RansomStopper, o ZoneAlarm cria arquivos de "isca" para ajudar a detectar o comportamento do ransomware.

Combatendo o Ransomware do Mundo Real

Como você testa uma ferramenta de proteção de ransomware baseada em comportamento? Na verdade, a única maneira de fazer isso é usar ransomware ao vivo, no mundo real. As ferramentas de simulação podem ser úteis, mas qualquer simulador que emule total e verdadeiramente o comportamento do ransomware seria ele próprio. Para verificar a proteção de ransomware pelo ZoneAlarm e produtos similares, eu uso amostras de ransomware encontradas em estado selvagem. Naturalmente, eu executo esse teste em uma máquina virtual isolada que é limpa após cada teste.

Eu adiciono à minha coleção de ransomware à medida que encontro novas amostras, mas não as uso antigas. As ferramentas de proteção de ransomware não são como utilitários simples de antivírus. Eles não procuram atacantes conhecidos, mas comportamentos de ataque. Portanto, não há mal nenhum em usar amostras mais antigas. Eu já testei o ZoneAlarm com a maioria das minhas amostras atuais, mas repeti o teste independentemente. Fico feliz que sim, porque isso revelou um problema (rapidamente corrigido) com uma versão do software.

Logo após o lançamento do primeiro exemplo, a janela principal do ZoneAlarm apareceu com um grande aviso de que havia detectado um ataque de ransomware. Um pop-up transitório no estilo torradeira também anunciou essa descoberta. Meus contatos do Check Point apontaram que este pop-up não é redundante. Se você estiver envolvido em um aplicativo de interface do usuário moderno, verá o pop-up, mas não a janela principal.

Depois de um tempo, o aplicativo anunciou que colocou o ransomware em quarentena. Ele alertou que o ataque alterou alguns arquivos e se ofereceu para reparar os arquivos afetados. Nem sei por que isso é opcional - quem diria não para reparar? Para testar, sempre escolhi a opção de reparo.

Na página que lista os arquivos afetados, há um link intitulado Not Ransomware. Nos raros casos em que o ZoneAlarm identifique acidentalmente um programa válido como ransomware, clicar neste link é sua chance de resgatar o programa. Não encontrei nenhum falso positivo, então, em cada caso, escolhi reparar os arquivos e verifiquei o status desses arquivos posteriormente. O ZoneAlarm restaurou os arquivos criptografados e eliminou as notas de resgate e outros arquivos auxiliares descartados pelo ransomware.

Em um caso, o ransomware acabou com o Windows Explorer, deixando nada visível, exceto sua anotação aleatória. Quando o ZoneAlarm terminou, tudo que eu tinha era uma tela em branco para olhar. Eu tive que abrir o Gerenciador de tarefas e reiniciar o Windows Explorer. Repetindo o teste, descobri que forçar uma redefinição forçada também funcionava.

O ataque do ransomware Petya difere de todas as minhas outras amostras. Em vez de criptografar arquivos, ele falsifica uma falha do sistema e finge estar executando o CHKDSK na reinicialização. Nos bastidores, está criptografando todo o seu disco rígido. Você não perde apenas arquivos para o Petya; você perde todo o acesso ao seu computador.

Quando lancei a amostra do Petya, o ZoneAlarm o capturou imediatamente, assim como o RansomStopper e Acronis. Não testei todos os produtos de proteção contra ransomware contra o Petya, mas o CryptoDrop Anti-Ransomware, o Malwarebytes e o RansomFree não se defenderam contra o ataque do Petya.

No final, o ZoneAlarm foi totalmente bem-sucedido em todas as minhas amostras de ransomware do mundo real. O RansomFree detectou minhas amostras, mas não limpou coisas como notas de resgate. O Malwarebytes permite que o ransomware criptografe alguns arquivos antes de interromper o processo. A Acronis perdeu totalmente uma das minhas amostras, mas, de outro modo, foi bem. O CryptoPrevent Premium perdeu a maioria das minhas amostras, apesar de sobrecarregar a área de trabalho com uma infinidade de arquivos de isca. Apenas o RansomStopper se saiu melhor, bloqueando todas as amostras sem exigir uma fase de limpeza posteriormente.

O ransomware simulado não é totalmente sem valor. Uma solução de ransomware pode demonstrar sucesso ao bloquear as simulações. Apenas não tomo a falha em bloquear ataques simulados como uma falha real. Anteriormente, quando tentei testar o ZoneAlarm usando o simulador de ransomware RanSim do KnowBe4, ele eliminou os processos auxiliares do programa, tornando a pontuação impossível. Desta vez, mostrou-se menos pesado, bloqueando com êxito todos os 10 cenários de simulação e deixando o programa vivo para relatar esse sucesso.

Um começo falso e assustador

No meio dos meus testes, esta análise foi muito diferente. Estava cheio de comentários sobre o ZoneAlarm travar repetidamente e falhar na limpeza de problemas de ransomware. Durante essa rodada de testes, o ZoneAlarm obteve sucesso total em menos da metade das minhas amostras.

Cavando em registros com meus contatos na empresa, aprendi o que aconteceu. A Check Point lançou uma versão ruim do produto, uma sujeita a falhas, mas rapidamente a substituiu no link de download oficial, fornecido aos clientes pagantes. Infelizmente, o link de download da versão de avaliação manteve o código com defeito. Fiz o download da avaliação e atualizei usando uma chave de registro, que me deixou com a versão propensa a falhas.

Resolvemos o problema e o ZoneAlarm mais uma vez se mostrou totalmente eficaz. Mas eu me pergunto quantas pessoas pegaram código ruim no link de teste antes que ele fosse corrigido? E por que a edição de avaliação não foi atualizada automaticamente para o melhor e mais recente código? Este assustador início falso marcou um desempenho excelente.

A melhor proteção contra ransomware

A proteção contra ransomware ainda é um novo campo, com novos produtos aparecendo o tempo todo. Entre as ferramentas específicas de ransomware que eu já vi, o ZoneAlarm Anti-Ransomware é um vencedor claro. Ele manipulou com êxito todas as minhas amostras de ransomware da vida real e corrigiu todas as alterações feitas pelos processos de ransomware, incluindo a remoção de notas de resgate que alguns outros produtos deixam para trás. Se você está preocupado com ransomware (e deveria estar), o preço de US $ 1, 99 por mês pode parecer ótimo.

Se você não estiver pronto para gastar o preço de uma xícara de café por mês, ainda poderá obter uma proteção eficaz contra o ransomware. O CyberSight RansomStopper não custa um centavo e foi tão bem em testes quanto o ZoneAlarm. Você poderia argumentar que foi melhor. Onde o ZoneAlarm reparava todos os arquivos afetados, o RansomStopper nunca permitia a criptografia em primeiro lugar. Esses dois são nossos produtos Editors 'Choice para proteção dedicada ao ransomware.

Revisão e avaliação do zonealarm anti-ransomware point point