Lar Rever Análise e avaliação do Malwarebytes anti-ransomware beta

Análise e avaliação do Malwarebytes anti-ransomware beta

Índice:

Vídeo: Malwarebytes Anti Ransomware Beta VS Real Ransomware TESTED (Outubro 2024)

Vídeo: Malwarebytes Anti Ransomware Beta VS Real Ransomware TESTED (Outubro 2024)
Anonim

Seu utilitário antivírus com todos os recursos provavelmente faz um bom trabalho em manter seu PC livre de malware. No entanto, ninguém é perfeito, então, de vez em quando, um vírus ou Trojan novinho em folha pode passar pela proteção em tempo real. Mesmo assim, uma atualização antivírus geralmente esclarece a situação em pouco tempo. Mas se a ameaça que passou foi criptografar ransomware, você está com problemas. Claro, o antivírus atualizado pode remover o programa incorreto, mas o dano já está feito. Seus arquivos permanecem criptografados e inacessíveis. O Malwarebytes Anti-Ransomware Beta tem como objetivo poupar essa dor, capturando qualquer ransomware que seu antivírus perca.

Não se coíbe por causa do "beta" no nome. Este produto gratuito está perpetuamente em teste beta, recebendo a mais recente tecnologia de combate a ransomware da Malwarebytes. Mais tarde, quando quaisquer pontos difíceis foram resolvidos, a empresa transfere essa tecnologia para o comercial Malwarebytes Anti-Ransomware for Business. Isso satisfaz a equipe de TI, que normalmente prefere a tecnologia um pouco mais antiga do que a vanguarda.

Naturalmente, você obtém proteção contra ransomware como parte da substituição antivírus em larga escala da empresa, o Malwarebytes 3.0 Premium. O produto de proteção autônoma de ransomware funciona em conjunto com o antivírus existente, trabalhando para detectar tudo o que o principal antivírus perde.

Estilos de proteção contra ransomware

Existem várias maneiras diferentes de os produtos de segurança implementarem a proteção contra ransomware. Uma maneira envolve controlar o acesso a locais protegidos, tipos de arquivos protegidos ou ambos. Bons programas conhecidos, como componentes do Windows e programas do Office, recebem luz verde. Quando um aplicativo desconhecido tenta acessar, o produto de segurança avisa o usuário sobre um possível ataque de ransomware. Se for apenas um novo editor de documentos, o usuário poderá colocá-lo na lista de permissões com um clique; se for ransomware, outro clique o envia para quarentena.

Alguns produtos apenas impedem alterações nos arquivos protegidos. Outros, incluindo o IObit Malware Fighter 5 Pro e o Panda Internet Security, até impedem a leitura não autorizada de dados de arquivos protegidos. Esse tipo de proteção também evita que os Trojans que roubam dados desviem seus dados privados.

É concebível que um processo complicado de ransomware possa fazer suas ações sujas subvertendo um programa na lista de permissões ou encontrando outra maneira de contornar as limitações de acesso. Mesmo se isso acontecesse, um produto que detecta ransomware com base em seu comportamento ainda pode impedir o ataque. É assim que o Malwarebytes Anti-Ransomware funciona. O Cybereason RansomFree adota uma abordagem semelhante.

Você encontrará camadas de proteção específicas para ransomware em vários produtos antivírus padrão. Bitdefender e Trend Micro incluem esse componente. A detecção de malware pelo Webroot SecureAnywhere AntiVirus é totalmente baseada em comportamento, e o sistema de registro em diário e reversão desta ferramenta para programas desconhecidos pode realmente reverter um ataque de ransomware. A empresa alerta que o espaço disponível para registro no diário e reversão é limitado.

Introdução ao Malwarebytes

O Malwarebytes Anti-Ransomware é um programa pequeno e leve que é instalado em um instante. Sua janela principal simples possui apenas três guias: Painel, Quarentena e Exclusões. O painel simplesmente confirma que a proteção está ativa e oferece um link para ativar e desativar a proteção. Você não verá nada em quarentena, a menos que o produto impeça um ataque de ransomware real.

Por que você deseja excluir um arquivo da detecção? Bem, este é um produto beta e é concebível que um produto de criptografia legítimo seja pego em sua rede. Se você encontrar um falso positivo, salve-o da quarentena e coloque-o na lista de exclusões.

Testando a proteção de Ransomware

Testar a proteção de ransomware é mais difícil do que testar a proteção de malware de uso geral. Os próprios programas maliciosos às vezes observam sinais de teste e permanecem baixos. Por outro lado, se você não for cuidadoso com as amostras de ransomware do mundo real, elas podem escapar da prisão das máquinas virtuais e causar danos reais.

Produtos como o Panda Internet Security, que funcionam controlando o acesso a arquivos, são fáceis de testar. Eu tenho pequenos programas de teste que exercem esse tipo de proteção.

Com a proteção baseada em comportamento, às vezes, meu único recurso é usar ransomware real, em um ambiente cuidadosamente controlado. Meus testes de ransomware ainda estão evoluindo. No momento, tenho três amostras do mundo real, ameaças que me recolhi de sites perigosos. Malwarebytes se saiu bem no meu teste prático.

A primeira amostra de ransomware é sombria. Freqüentemente, ele é executado como um processo em segundo plano sem fazer nada. Sem comportamento, não pode haver detecção baseada em comportamento; portanto, o Malwarebytes recebe uma aprovação sobre esse.

O Malwarebytes pegou o segundo em flagrante, colocou-o em quarentena e pediu uma reinicialização para finalizar sua limpeza. Após a reinicialização, observei que durante a análise de comportamento do Malwarebytes, o ransomware conseguiu criptografar vários arquivos. Para mim, isso parece uma consequência natural da detecção baseada em comportamento. Sem o comportamento do ransomware, não há detecção, certo? No entanto, meu contato em bytes de Malware diz que eles estão "chegando muito perto de resolver isso".

A terceira amostra também foi vítima de Malwarebytes. Após a reinicialização, pensei por um momento que o ransomware ainda estava em execução, porque exibia sua demanda de resgate como um arquivo de texto, um documento HTML e uma imagem PNG. Acontece, porém, que o ransomware simplesmente despejou esses arquivos na pasta de inicialização, para que eles fossem abertos na inicialização. Não havia vestígios do próprio aplicativo de malware. Aqui, novamente, o malware criptografou vários arquivos antes de a proteção entrar em ação.

Ransomware simulado

A única maneira totalmente confiável de testar a detecção de ransomware baseada em comportamento é usando o ransomware real. Qualquer simulação que duplicasse completamente a atividade de uma ameaça de ransomware com criptografia seria ela própria um malware. No entanto, isso não é motivo para anular completamente os testes com o ransomware simulado.

A KnowBe4, uma empresa de treinamento em segurança, lançou uma ferramenta gratuita chamada RanSim, projetada para testar sua proteção contra ransomware. Ele executa módulos que implementam dez técnicas comuns de ransomware de criptografia, além de duas técnicas semelhantes, mas inofensivas. Em teoria, o melhor produto bloqueará todas as técnicas de ransomware e deixará as inofensivas em paz.

Quando testei a proteção de ransomware ativo incorporada no Acronis True Image 2017 New Generation, ela bloqueou todos, exceto um dos ataques simulados. Obviamente, um backup completo, blindado contra alterações não autorizadas, é uma grande ajuda na recuperação de ataques de malware.

O RansomFree não detectou nenhum dos ataques simulados. Seus designers apontaram que os ataques simulados afetam apenas os arquivos vários níveis de pasta abaixo da pasta Documents, em nenhum outro lugar. Nenhum ransomware do mundo real se comporta dessa maneira.

Quanto ao Malwarebytes, ele se defendeu ativamente contra oito dos 10 ataques simulados, mas errou dois. Devido aos problemas no uso de ransomware simulado, considero uma vantagem quando um produto detecta os módulos do RanSim, mas trato uma falha do RanSim como não informativa e não negativa.

Adicione ao seu Arsenal

O Malwarebytes Anti-Ransomware Beta se saiu bem em meus testes práticos simples. Certamente, alguns ransomware criptografaram alguns arquivos, mas sem proteção, teriam feito muito, muito pior. A proteção contra ransomware é necessariamente uma questão de camadas. O que um componente perdeu, outro pode pegar. Adicionei o Malwarebytes ao arsenal de utilitários que protegem meu principal sistema de produção, junto com o Norton Internet Security e o Cybereason RansomFree.

Análise e avaliação do Malwarebytes anti-ransomware beta