Revisão e classificação do Cybereason ransomfree

Se o seu antivírus não conseguir capturar um Trojan que rouba dados, você pode obter um novo cartão de crédito. Se um vírus real ultrapassar suas defesas, uma ferramenta de limpeza agressiva deve resolver o problema. Mas se o seu antivírus perder um ataque de ransomware, você poderá perder todos os seus documentos ou até mesmo perder o acesso ao seu computador. É aí que entra o RansomFree da Cybereason. Este utilitário gratuito e dedicado de proteção contra ransomware funciona em conjunto com o software antivírus existente. Ele se concentra 100% na detecção e prevenção de infestação por ransomware, observando comportamentos comuns a esses ataques. Nos testes, com amostras desagradáveis ​​de malware do mundo real, ele faz o trabalho.

Os membros da equipe de Cybereason foram treinados na unidade de elite 8200 do Corpo de Inteligência de Israel, uma equipe dedicada à segurança cibernética. Eles cortaram os dentes em ataques cibernéticos de nível militar e agora fornecem defesa de ponta para grandes empresas, como SoftBank, Vizio e Lockheed Martin. À medida que a epidemia de ransomware começou a colocar mais consumidores em risco, o CEO da empresa decidiu extrair o componente ransomware de todo o conjunto de segurança Cybereason e oferecer proteção desse ransomware gratuitamente aos consumidores. Pequenas empresas também podem usá-lo; empresas maiores devem considerar o serviço Cybereason em larga escala.

Imediatamente após a instalação, o RansomFree começa a proteger seu sistema contra ransomware. Ele é executado em segundo plano, observando comportamentos específicos ao ransomware. Como parte desse processo, ele cria arquivos de "isca" em locais privilegiados, como a área de trabalho e a pasta Documentos. Não há assinaturas de antivírus; O RansomFree depende da detecção baseada em comportamento.

Ataque do Ransomware

O RansomFree estava entre as primeiras ferramentas de segurança específicas para ransomware que revi no ano passado. Na época, eu tinha apenas algumas amostras do mundo real, além de variantes modificadas à mão. Agora tenho meia dúzia de amostras cobrindo várias famílias de ransomware. O RansomFree detectou e bloqueou todos eles.

Quando encontra um processo que funciona como ransomware, o RansomFree suspende esse processo e exibe um grande aviso. Você clica em Sim para finalizar o processo e limpar quaisquer problemas. Você também pode clicar em Não, mas eu não recomendo. Há um link para visualizar todos os arquivos criados, modificados ou excluídos pelo processo incorreto. Revendo essas informações, pude ver, por exemplo, que um invasor criou um arquivo executável com um nome aleatório na pasta Documents e passou o controle para esse programa. Outro excluiu sua presença no disco após carregar na memória.

Em alguns casos, o RansomFree apareceu duas ou até três vezes; Eu sempre cliquei em Sim. Na conclusão, ele avisa que o ransomware pode ter deixado uma nota de resgate ou outro detrito que você deve limpar manualmente. De fato, encontrei notas de resgate em alguns casos.

Encontrei alguns produtos que não conseguiram impedir um ataque de ransomware iniciado na inicialização do Windows. O IObit Advanced SystemCare Ultimate é um exemplo, assim como o CyberSight RansomStopper gratuito. Quando configurei uma amostra de ransomware para iniciar na inicialização, o RansomFree não teve problemas para detectá-lo e finalizá-lo.

Tenho em mãos um pequeno e simples simulador de ransomware, um programa que eu mesmo escrevi. Tudo o que faz é encontrar os arquivos de texto na pasta Documentos e aplicar a criptografia XOR a eles. Essa técnica simplesmente vira todos os bits um para zero e todos os bits zero para um; aplicá-lo uma segunda vez descriptografa o arquivo. Isso provou ser simplório demais para o RansomFree perceber e, de fato, não é verdadeiramente destrutivo. Muitos outros utilitários concorrentes ignoraram meu FakeCryptor, entre eles Acronis e CryptoDrop Anti-Ransomware.

Ransomware de criptografia de disco

O tipo mais comum de ransomware criptografa seus arquivos essenciais, mas deixa o computador funcionando. Isso faz todo o sentido, porque a vítima precisa de acesso à Internet e ao computador para pagar o resgate. No entanto, existe outro tipo menos comum que executa a criptografia de disco inteiro, bloqueando efetivamente o dispositivo até você pagar. O notório Petya ransomware é um desses, e eu consegui capturar uma amostra do Petya.

Os utilitários de proteção de ransomware baseados em comportamento não necessariamente protegem contra esse tipo de ataque. Dos quatro outros produtos que testei desde a obtenção da amostra do Petya, o Acronis e o RansomStopper impediram um ataque do Petya, mas o Malwarebytes Anti-Ransomware Beta e o CryptoDrop não.

Um post no Cybereason me levou a pensar que o RansomFree poderia parar o Petya. No entanto, quando iniciei meu exemplo, ele travou o sistema e executou um reparo de disco de baixo nível na reinicialização. Na realidade, ele estava criptografando o disco, não o reparando. Vale ressaltar que o ransomware com criptografia de disco é muito menos comum que o tipo de criptografia de arquivos e que o seu antivírus provavelmente o pegaria antes que pudesse causar algum dano.

Enigma Simulado de Ransomware

A KnowBe4 é uma empresa conhecida mais por seus treinamentos antiphishing do que por produtos, mas oferece o RanSim Ransomware Simulator gratuito. Sem tocar em nenhum dos seus próprios arquivos preciosos, o RanSim simula as dez técnicas mais comuns de ransomware, bem como duas técnicas relacionadas inócuas que a proteção de ransomware não deve bloquear.

Instalei o RanSim no sistema de teste e executei suas seqüências de teste, com resultados decepcionantes. O RansomFree se absteve de interferir corretamente nos dois cenários de falso positivo, mas também não fez nada para bloquear os 10 cenários de ransomware.

Depois de cavar, coçar a cabeça e confabular com a Cybereason e o KnowBe4, eu entendi o problema. O RanSim coloca seus arquivos de teste em pastas dentro de pastas, quatro níveis abaixo da pasta Documentos. Criptografar esses arquivos sem tocar no conteúdo real da pasta Documentos simplesmente não é um comportamento compatível com nenhum ransomware do mundo real. Então o RansomFree ignora. Acronis bloqueou todos os 10 cenários e Malwarebytes obteve oito. Outros exterminaram toda a plataforma de teste, o que significa que ela não pode relatar nenhum resultado.

Outras avenidas

O ransomware é um problema sério, por isso não é de surpreender que outras empresas tenham desenvolvido seus próprios métodos para combatê-lo. Toda a detecção de malware no Webroot SecureAnywhere AntiVirus é baseada no comportamento, não apenas na detecção de ransomware. O antivírus apaga imediatamente qualquer processo que corresponda a um perfil de comportamento de malware existente. Se não estiver 100% claro que um processo suspeito é malicioso, o Webroot divulga suas ações locais e virtualiza todas as ações irreversíveis, como o envio de informações pela Internet. Quando sua análise baseada na nuvem identifica posteriormente esse processo suspeito como malware, o cliente local usa os dados do diário para reverter todas as ações desse processo, incluindo a reversão das ações de criptografia executadas pelo ransomware.

É necessário adquirir o pacote completo Panda Internet Security para obter proteção contra ransomware do Panda; o antivírus independente não inclui o componente Data Shield. O Data Shield visa proteger seus documentos preciosos contra todo acesso não autorizado, para que o ransomware não possa criptografar seus arquivos e os cavalos de Troia não possam roubar seus dados. Se o Panda detectar uma tentativa de acesso por qualquer programa não autorizado, ele perguntará se você deve permitir. Naturalmente, você concederá permissão para o novo processador de texto que você acabou de instalar, mas se a solicitação surgir do nada, negue!

O Trend Micro Antivirus + Security e o Avast Internet Security estão entre outros produtos que impedem o ransomware, impedindo a modificação não autorizada de arquivos. No entanto, eles não impedem o acesso somente leitura como o Panda.

No campo das ferramentas projetadas especificamente para combater malware, quase todos usam detecção baseada em comportamento. O Bitdefender Anti-Ransomware é uma exceção; ele funciona subvertendo as próprias técnicas do ransomware para evitar a criptografia dupla, "vacinando" o sistema para que o ransomware pense que já fez seu trabalho.

O Check Point ZoneAlarm Anti-Ransomware complementa a detecção baseada em comportamento com um sistema para recuperar todos os arquivos que podem ter sido criptografados antes da detecção. Nos testes, ele fez um trabalho perfeito, até mesmo eliminando as notas de resgate dispersas.

Com o Acronis Ransomware Protection, você obtém 5 GB de armazenamento em nuvem para seus arquivos confidenciais. Se o ransomware encriptar um ficheiro ou dois antes da detecção, a Acronis restaura simplesmente a partir da sua cópia de segurança protegida. Se 5 GB for insuficiente, você sempre poderá atualizar para o serviço de backup Acronis True Image da empresa, que naturalmente inclui o componente anti-ransomware.

O Trend Micro RansomBuster dá tudo certo, combatendo o ransomware em várias frentes. Seu Escudo de Pasta bloqueia a modificação de arquivos confidenciais, usa detecção baseada em comportamento e recupera arquivos de armazenamento seguro, se necessário. No entanto, quando desliguei o Folder Shield para teste, a detecção baseada em comportamento perdeu várias amostras.

Suspensórios e cinto

O RansomFree é, como o nome sugere, gratuito, e quando o testamos com ransomware desagradável do mundo real, ele prestou serviços a você. Não é de forma alguma uma solução universal, mas é uma adição útil ao seu utilitário de proteção contra malware de uso geral. Instalei-o no meu PC principal de produção e sugiro que você o adicione ou outro utilitário gratuito de proteção contra ransomware para complementar sua proteção antivírus em larga escala.

O Check Point ZoneAlarm Anti-Ransomware é a opção de nossos editores para segurança específica de ransomware. Embora não seja gratuito, também não é caro. Ele protegeu contra todas as nossas amostras de ransomware e arquivos recuperados, conforme necessário, sem espalhar arquivos de isca pelo sistema.