Revisão e classificação Heilig defense ransomoff

Claro, o ransomware é uma dor de cabeça para as pessoas - quem quer perder todo o seu progresso no grande romance americano? Mas imagine quanto é pior para as empresas, que podem perder US $ 100.000 por hora (ou mais) quando o ransomware bloqueia a produção. Os sistemas de segurança comercial de ponta precisam de uma proteção poderosa contra o ransomware e, ocasionalmente, os fornecedores desses sistemas disponibilizam essa proteção no nível pessoal. É o caso do Heilig Defense RansomOff gratuito, que usa a tecnologia emprestada do Hielig Defense Correlate.

De maneira semelhante, o Cybereason RansomFree encapsula a proteção de ransomware encontrada nos produtos de nível empresarial da Cybreason. No entanto, onde o RansomFree, o RansomStopper e a maioria das outras ferramentas gratuitas específicas para ransomware reduzem ao mínimo as configurações e a interação do usuário, o RansomOff inclui vários modos e módulos que até me confundiam às vezes.

O RansomOff é um pequeno download e é instalado rapidamente. Por padrão, ele é executado no Modo Simples, descrito como "proteção sem complicações". Você também pode escolher o Modo Avançado para "liberar todo o potencial do RansomOff". Eu usei os dois modos de teste, como você verá abaixo.

Modo simples

No Modo Simples padrão, o RansomOff cuida dos negócios inteiramente em segundo plano, sem notificação de que encerrou ameaças além de uma breve animação do ícone da área de notificação. Quando você clica duas vezes no ícone, ele exibe uma pequena janela com botões para exibir alertas e alternar para o Modo Avançado.

Nesse modo, o RansomOff finaliza o ransomware, mas não tenta a limpeza. Você sempre pode ver o que fez clicando duas vezes no ícone e, em seguida, clicando em Exibir alertas. A lista de alertas inclui operações de limpeza pendentes, que você pode iniciar manualmente.

Nos testes, ele detectou e finalizou todas as minhas amostras de ransomware do mundo real. Eu observei o ícone animado, verifiquei os alertas e solicitei a limpeza em cada caso. No entanto, menos da metade das amostras acionou um alerta de Ransomware detectado. Quanto ao restante, ele relatou a Notificação HIPS-Lite, informando que o programa incorreto tentou se configurar para iniciar na inicialização.

Como verificação de integridade, executei vários utilitários da coleção que mantenho para testes de falso positivo, escolhendo aqueles cuja funcionalidade exige que eles sejam iniciados na inicialização. Em todos os casos, o RansomOff eliminou esses programas totalmente legítimos. Não observei esse tipo de comportamento em outros utilitários específicos de ransomware. Dado que o recurso HPS-Lite elimina programas legítimos e maliciosos, dificilmente posso chamar isso de detecção de ransomware.

Modo avançado

Para uma exploração mais aprofundada, mudei o RansomOff para o Modo Avançado e repeti o teste. O comportamento do programa é muito diferente nesse modo. Ao detectar o ransomware, ele assume a tela com um aviso impossível de ignorar, solicitando sua permissão para lidar com o problema. Você pode clicar para obter mais detalhes antes de decidir. Se ele detectar modificações na sequência de inicialização ou outras ações suspeitas, ele exibirá uma notificação HIPS-Lite menos estridente e perguntará se deve permitir ou bloquear a alteração.

Examinei as amostras novamente, escolhendo Block em qualquer aviso do HIPS-Lite. Os resultados se assemelhavam ao que vi no Modo Simples, com uma exceção gritante. Talvez devido ao atraso envolvido na exibição de sua notificação, o RansomOff tenha permitido que um exemplo criptografasse os arquivos na pasta Documentos antes de apagá-lo. Eu tentei isso várias vezes, no caso de ter sido um acaso; isso não acontecia todas as vezes, mas era definitivamente repetível.

Em seguida, tentei novamente as amostras que acionaram os avisos do HIPS-Lite, escolhendo Permitir desta vez. Isso foi um desastre. Informar o RansomOff para permitir a modificação da inicialização também fez com que ele parasse de monitorar a atividade do ransomware. "A maneira como vemos é nesse ponto que o processo foi reconhecido como algo que fez e o usuário fez uma escolha de uma maneira ou de outra", explicou meu contato na Heilig Defense. "Afinal, o usuário deve ser mais esperto que o software ou, pelo menos, fazê-lo pensar um pouco mais antes de permitir."

Eu não posso concordar. Software de segurança que coloca decisões críticas nas mãos do usuário médio é um erro, na minha opinião. É como o antigo modelo de firewall pessoal, que responsabilizava o usuário por todas as decisões sobre se cada programa deveria ter permissão para acessar a rede. Outras ferramentas de proteção contra ransomware fazem o trabalho sem envolver decisões do usuário.

Determinado a ter uma visão clara das habilidades do programa, desliguei o recurso HIPS-Lite e repeti meus testes mais uma vez. Desta vez, o produto detectou e bloqueou o comportamento do ransomware em todas as amostras, um resultado muito satisfatório. No entanto, a amostra problemática ainda conseguiu criptografar os arquivos antes que o RansomOff o batesse.

Teste aprofundado

Ocasionalmente, encontrei programas de segurança que falham quando o ransomware é iniciado na inicialização. Por favor, diga que o RansomOff não é um desses. Quando eu defino manualmente algumas amostras para serem inicializadas na inicialização do Windows, elas foram bloqueadas de maneira eficaz.

Para uma verificação de integridade muito básica, escrevi um pequeno programa que criptografa todos os arquivos de texto na pasta Documents usando criptografia XOR reversível. Muitos utilitários de proteção de ransomware não detectam esse programa, porque nenhum ransomware real criptografaria dessa maneira simples. Mas RansomOff pegou.

Também carreguei o simulador de ransomware RanSim do KnowBe4. Essa ferramenta simula 10 técnicas usadas pelo ransomware real, juntamente com duas atividades de criptografia inofensiva. No Modo Simples, eu nem conseguia instalá-lo, pois o RansomOff o eliminou. Tentando novamente no Modo avançado com o HIPS-Lite desativado, consegui uma instalação bem-sucedida.

Enquanto o utilitário de teste executava seus cenários, respondi a 11 avisos de detecção do RansomOff. Na conclusão do teste, o RanSim relatou uma prevenção bem-sucedida de todas as 10 atividades simuladas de ransomware, juntamente com um dos cenários inócuos. O Acronis Ransomware Protection obteve exatamente o mesmo. Bloquear todos os 10 ataques simulados é uma grande vantagem; um falso positivo é um pequeno sinal de menos.

Recursos extravagantes de proteção contra Ransomware

Estou acostumado a ferramentas de proteção contra ransomware que são tão discretas que mal têm uma janela principal e, às vezes, não têm configurações. O RansomOff no Modo Avançado é bastante diferente, com vários recursos sofisticados que eu só conseguia entender pesquisando a documentação.

Bloqueio de aplicativo

O App Lockdown é um sistema de proteção baseado em lista de permissões, desabilitado por padrão, com vários modos de operação. No rigoroso modo Todos os processos, você terá que OK em todos os processos iniciados, a menos que já estejam isentos. Soltando o modo Novo Processo, o RansomOff apenas solicita verificação na primeira vez que um processo é executado durante a sessão do Windows. Você pode reduzir os pop-ups, isentando os processos do Windows, arquivos de programas assinados digitalmente ou ambos.

Ativei o App Lockdown no modo Todos os processos e iniciei o Chrome. Eu tive que aprovar cinco processos distintos, mas em um lançamento subsequente esses processos foram isentos. Usuários experientes em tecnologia podem configurar o App Lockdown para ativar automaticamente quando um processo especificado é carregado e, opcionalmente, desativar quando esse processo é fechado. A predefinição Web Lockdown configura o App Lockdown para ativar quando uma janela do navegador está ativa, assim como o VoodooSoft VoodooShield funciona.

Backup e restauração

O recurso Backup and Restore, ativado por padrão, visa fazer backup de arquivos ameaçados e, se necessário, restaurá-los após a atividade de ransomware. De acordo com a documentação, "o RansomOff fará uma cópia de um arquivo com base em determinadas ações e o salvará no espaço protegido". Ele oferece vários métodos de restauração, entre eles a seleção de um processo para restaurar as alterações feitas e a pesquisa de arquivos que precisam de restauração, além de uma opção para recuperar arquivos que o RansomOff pode ter excluído por engano. Nos meus testes, nunca vi esse recurso em ação; não ajudou com aquela amostra irritante de ransomware que criptografou meus documentos.

O recurso de restauração no Check Point ZoneAlarm Anti-Ransomware mostrou-se mais simples e mais eficaz. Em todos os casos, ofereceu restaurar todos os arquivos criptografados e o fez com êxito. Seu único erro no teste envolveu relatar falha uma vez quando realmente teve êxito.

O Acronis Ransomware Protection adota uma abordagem diferente para o backup. Ele cria um backup em nuvem criptografado dos arquivos em suas pastas protegidas, com valor de até 5 GB, e recupera todos os arquivos danificados pelo ransomware após eliminar a ameaça.

Proteção de Pasta

Clicar em Pastas exibe a proteção baseada em permissão do RansomOff para as pastas que você especificar. Como o Bitdefender Antivirus Plus, Trend Micro e alguns outros, ele pode impedir que programas não autorizados modifiquem arquivos, mas oferece várias outras opções. Você pode negar todo o acesso aos arquivos na pasta protegida, ocultar a existência desses arquivos ou bloquear o lançamento de arquivos executáveis ​​a partir do local protegido. Este último é útil contra ameaças como o TeslaCrypt, que coloca um arquivo executável de nome aleatório na pasta Documentos e o inicia.

Confusamente, você gerencia a proteção adicionando pastas a uma das cinco listas diferentes: Negar, Enganar, Ocultar, Somente Leitura e Sem Execução. Uma pasta pode ocupar apenas uma dessas listas por vez. Para começar, adicionei a pasta Documentos à lista Negar. Isso deve negar o acesso de leitura e gravação a arquivos protegidos, como o recurso semelhante no Panda Internet Security. No entanto, não fez nada para impedir que um pequeno editor que eu mesmo escrevi lesse e modificasse arquivos.

Acontece que eu não estava prestando atenção o suficiente. A tela mostrou claramente "Proteção não ativada" abaixo da minha pasta selecionada. Você também deve adicionar pelo menos um aplicativo isento antes que o RansomOff inicie sua proteção. Adicionei o Windows Explorer à lista de isenções, para ativar a proteção. Depois disso, a pasta Documentos nem apareceu na caixa de diálogo de arquivo aberto do meu pequeno editor.

Selecionei Alterar proteção e movi minha pasta protegida para a lista Somente leitura. Dessa vez, meu pequeno editor carregou com êxito um arquivo de texto da pasta protegida, mas uma tentativa de salvar uma versão modificada recebeu uma mensagem dizendo "Erro de gravação no fluxo". Isso é decepcionante. O Trend Micro RansomBuster e vários outros programas similares relatam a tentativa de acesso e oferecem a você a chance de incluir o aplicativo na lista de permissões. Quando você acaba de instalar um novo documento ou editor de fotos, pode colocá-lo na lista de permissões facilmente neste momento.

No processo de experimentar meu pequeno editor, descobri muitos arquivos na pasta Documentos que simplesmente não apareciam no Windows Explorer. De fato, como o RansomFree e o CyberSight RansomStopper, o RansomOff usa arquivos "isca" para ajudar na detecção. Geralmente os oculta da vista, como o RansomStopper, mas eles aparecem em algumas situações.

Precisa de ajuste

A maioria dos utilitários de proteção específicos para ransomware são super simplificados, realizando seus trabalhos silenciosamente, com pouca necessidade de interação ou configuração do usuário. A instalação dessa ferramenta ao lado da proteção antivírus existente fornece uma camada de proteção secundária simples. O RansomOff é muito mais complexo do que qualquer um de seus concorrentes, com configurações e recursos avançados desconcertantes, sem uma leitura completa dos documentos. Nos testes, ele detectou todas as amostras de ransomware, mas deixou uma delas criptografar arquivos, apesar da detecção.

Os técnicos podem se divertir, mas, no momento, é muito complexo para o usuário médio. No lado positivo, os desenvolvedores são rápidos em corrigir quaisquer problemas, até atualizando o programa para corrigir alguns problemas durante minha análise. Estou ansioso por uma versão que não exija tanto do usuário médio.

Com uma interface mais simples e excelente recuperação, o Check Point ZoneAlarm Anti-Ransomware é uma opção dos editores para a proteção de ransomware. Se pagar por mais uma ferramenta de segurança não é o que você tinha em mente, o CyberSight RansomStopper é gratuito e também é uma opção de editores nessa área.