Índice:
- Proteção contra Ransomware
- Cuidado, Live Ransomware
- Perigo no momento da inicialização resolvido
- Outras técnicas
- Agora um vencedor
Vídeo: CyberSight RansomStopper Tested! (Outubro 2024)
Proteção contra Ransomware
Quando o RansomStopper detecta um ataque de ransomware, ele finaliza o processo incorreto e exibe um aviso na área de notificação. Clicar no aviso permite ver qual arquivo causou o problema. Há uma opção para remover programas da lista de processos bloqueados - junto com um aviso de que isso é uma má idéia.
Esperar para detectar o comportamento do ransomware às vezes pode significar que o ransomware criptografa alguns arquivos antes da finalização. Quando testei o Malwarebytes, ele perdeu alguns arquivos dessa maneira. O Check Point ZoneAlarm Anti-Ransomware recupera ativamente todos os arquivos criptografados. Nos meus testes, o fazia para todas as amostras de ransomware. No entanto, o RansomStopper interrompeu as mesmas amostras sem permitir a criptografia de nenhum arquivo.
Para uma verificação rápida da sanidade, lancei um programa simples de ransomware falso que eu mesmo escrevi. Tudo o que faz é procurar arquivos de texto dentro e abaixo da pasta Documentos e criptografá-los. Ele usa uma cifra simples e reversível; portanto, uma segunda execução restaura os arquivos. O RansomStopper o pegou e impediu sua trapaça. Por enquanto, tudo bem.
Cuidado, Live Ransomware
A única maneira segura de testar a proteção de ransomware baseada em comportamento é usando o ransomware ativo. Faço isso com muito cuidado, isolando meu sistema de teste de máquina virtual de qualquer pasta compartilhada e da Internet.
Esse teste pode ser angustiante se o produto anti-ransomware falhar em sua detecção, mas meu teste do RansomStopper foi tranquilo. Como o ZoneAlarm e o Malwarebytes, o RansomStopper capturou todas as amostras e não encontrei nenhum arquivo criptografado antes da detecção comportamental. O Cybereason RansomFree foi muito bem, mas perdeu um.
Também testo usando o RanSim do KnowBe4, um utilitário que simula 10 tipos de ataques de ransomware. O sucesso neste teste é uma informação útil, mas a falha pode simplesmente significar que a detecção baseada em comportamento determinou corretamente que as simulações não são ransomware reais. Como o RansomFree, o RansomStopper ignorou as simulações.
Perigo no momento da inicialização resolvido
Manter-se sob o radar é importante para o ransomware. Quando possível, ele faz suas ações sujas silenciosamente, apenas avançando com sua demanda de resgate depois de criptografar seus arquivos. Ter privilégios de administrador facilita o trabalho do ransomware, mas chegar a esse ponto normalmente requer permissão do usuário. Existem soluções alternativas para obter esses privilégios silenciosamente. Isso inclui organizar o processo do Winlogon no momento da inicialização ou definir uma tarefa agendada para o tempo de inicialização. Normalmente, o ransomware apenas organiza o lançamento na inicialização e força uma reinicialização, sem executar nenhuma tarefa de criptografia.
Nos meus testes anteriores, descobri que o ransomware podia criptografar arquivos no momento da inicialização antes do RansomStopper começar. Meu próprio programa de criptografia falsa gerenciava esse feito. Ele criptografou todos os arquivos de texto dentro e abaixo da pasta Documentos, incluindo os arquivos de texto de isca do RansomStopper. (Sim, esses arquivos estão em uma pasta que o RansomStopper oculta ativamente, mas eu tenho meus métodos…) Ele também perdeu uma amostra do ransomware do mundo real que eu defini para iniciar na inicialização.
Os designers da CyberSight testaram várias soluções para esse problema e lançaram uma nova versão que se antecipa ao ransomware no momento da inicialização. Eu testei; ele funciona, removendo a mancha dos resultados de teste agora valiosos do RansomStopper.
O RansomFree é executado como um serviço, por isso é ativo antes de qualquer processo regular. Quando realizei o mesmo teste, definindo uma amostra de ransomware do mundo real para iniciar na inicialização, o RansomFree também a capturou. O Malwarebytes também passou neste teste. O RansomBuster detectou o ataque no momento da inicialização e recuperou os arquivos afetados.
Para explorar ainda mais esse problema, obtive uma amostra do ransomware Petya que causou problemas no início deste ano. Essa tensão específica trava o sistema e simula o reparo no momento da inicialização pelo CHKDSK. O que realmente está fazendo é criptografar o disco rígido. Malwarebytes, RansomFree e RansomBuster falharam ao impedir esse ataque. O RansomStopper o capturou antes que pudesse causar a falha do sistema - impressionante! O ZoneAlarm também impediu o ataque de Petya. Para ser justo com os outros, este não é um típico ransomware de criptografia de arquivos. Em vez disso, bloqueia todo o sistema criptografando o disco rígido.
Ao consultar meus contatos, aprendi que os ataques de ransomware no momento da inicialização, incluindo o Petya, estão se tornando menos comuns. Mesmo assim, adicionei esse teste ao meu repertório.
Outras técnicas
A detecção baseada em comportamento, quando implementada corretamente, é uma excelente maneira de combater o ransomware. No entanto, não é o único caminho. O Trend Micro RansomBuster e o Bitdefender Antivirus Plus estão entre os que frustram o ransomware controlando o acesso a arquivos. Eles impedem que programas não confiáveis façam alterações nos arquivos em pastas protegidas. Se um programa não confiável tentar modificar seus arquivos, você receberá uma notificação. Normalmente, você tem a opção de adicionar o programa desconhecido à lista confiável. Isso pode ser útil se o programa bloqueado for o seu novo editor de texto ou foto. O Panda Internet Security vai ainda mais longe, impedindo que programas não confiáveis leiam dados de arquivos protegidos.
Os criminosos de ransomware precisam tomar cuidado para que sejam capazes de descriptografar arquivos quando a vítima pagar. A criptografia de arquivos mais de uma vez pode interferir na recuperação; portanto, a maioria inclui algum marcador para impedir um segundo ataque. O Bitdefender Anti-Ransomware utiliza essa técnica para enganar famílias específicas de ransomware, pensando que elas já o atacaram. Observe, porém, que essa técnica não pode fazer nada sobre os novos tipos de ransomware.
Quando o Webroot SecureAnywhere AntiVirus encontra um processo desconhecido, ele inicia o registro no diário de todas as atividades desse processo e o envio de dados para a nuvem para análise. Se o processo provar ser malware, o Webroot reverte tudo o que fez, mesmo revertendo a atividade de ransomware. ZoneAlarm e RansomBuster têm seus próprios métodos para recuperar arquivos. Quando o componente anti-ransomware do Acronis True Image acaba com um ataque de ransomware, ele pode restaurar arquivos criptografados a partir de seu próprio backup seguro, se necessário.
Agora um vencedor
O CyberSight RansomStopper detectou e bloqueou todas as minhas amostras de ransomware do mundo real sem perder nenhum arquivo. Ele também detectou meu simples simulador de ransomware codificado à mão. E bloqueou um ataque da Petya, onde vários produtos concorrentes falharam.
Anteriormente, o RansomStopper exibia uma vulnerabilidade ao ransomware que é executada apenas no momento da inicialização, mas minhas fontes dizem que esse tipo de ataque está se tornando menos comum, e o CyberSight já corrigiu esse problema. Outros produtos gratuitos tiveram seus próprios problemas. O RansomFree perdeu uma amostra do mundo real, e o Malwarebytes deixou outra amostra criptografar irreversivelmente alguns arquivos antes de sua detecção ser iniciada. O RansomBuster se saiu pior, faltando metade das amostras completamente (embora seu componente Folder Shield tenha protegido a maioria dos arquivos).
O RansomStopper e o Check Point ZoneAlarm Anti-Ransomware são nossas principais opções para proteção dedicada ao ransomware. O ZoneAlarm não é gratuito, mas a US $ 2, 99 por mês também não é muito caro. Ainda assim, o RansomStopper gerencia a proteção total sem nenhum custo.