Оглавление:
- Стили защиты от вымогателей
- Начало работы с Malwarebytes
- Тестирование защиты от вымогателей
- Имитация вымогателей
- Добавьте в свой арсенал
Видео: Malwarebytes Anti Ransomware Beta VS Real Ransomware TESTED (Ноябрь 2024)
Ваша полнофункциональная антивирусная утилита, вероятно, очень хорошо защищает ваш компьютер от вредоносных программ. Тем не менее, никто не идеален, так что время от времени новый вирус или троян может пройти защиту в режиме реального времени. Даже тогда обновление антивируса обычно проясняет ситуацию в ближайшее время. Но если проскользнувшая угроза заключалась в шифровании вымогателей, у вас проблемы. Конечно, обновленный антивирус может удалить нарушающую программу, но повреждение уже сделано. Ваши файлы остаются зашифрованными и недоступными. Malwarebytes Anti-Ransomware Beta направлена на то, чтобы избавить вас от этой боли, заразившись любыми вымогателями, которые пропустил ваш антивирус.
Не стесняйтесь из-за "бета" в названии. Этот бесплатный продукт постоянно находится в бета-тестировании, получая все самые последние технологии борьбы с вымогателями от Malwarebytes. Позже, когда сглаживаются любые неровности, компания переносит эту технологию в коммерческий Malwarebytes Anti-Ransomware для бизнеса. Это удовлетворяет команду ИТ-специалистов, которые обычно предпочитают новейшие технологии передовым технологиям.
Естественно, вы получаете защиту от вымогателей как часть полной замены антивируса компании, Malwarebytes 3.0 Premium. Автономный продукт для защиты от вымогателей работает вместе с имеющимся у вас антивирусом и работает для обнаружения всего, что пропускает основной антивирус.
Стили защиты от вымогателей
Существует несколько различных способов защиты продуктов вымогателей. Один из способов заключается в управлении доступом к защищенным расположениям, защищенным типам файлов или обоим. Известные хорошие программы, такие как компоненты Windows и программы Office, получают зеленый свет. Когда неизвестное приложение пытается получить доступ, продукт безопасности предупреждает пользователя о возможной атаке вымогателей. Если это просто новый редактор документов, пользователь может внести его в белый список одним щелчком мыши; если это вымогатель, другой щелчок отправляет его на карантин.
Некоторые продукты просто предотвращают изменения в защищенных файлах. Другие, в том числе IObit Malware Fighter 5 Pro и Panda Internet Security, даже предотвращают несанкционированное чтение данных из защищенных файлов. Этот тип защиты также не позволяет троянам, осуществляющим кражу данных, перехватывать ваши личные данные.
Вполне возможно, что хитрый процесс вымогателей может сделать свои грязные действия, подрывая программу из белого списка, или найти какой-то другой способ обойти ограничения доступа. Даже если это произойдет, продукт, который обнаружит вымогателей по его поведению, все равно сможет предотвратить атаку. Вот как работает Malwarebytes Anti-Ransomware. Cybereason RansomFree использует аналогичный подход.
Вы также найдете уровни защиты, специфичные для вымогателей, в различных стандартных антивирусных продуктах. Bitdefender и Trend Micro включают в себя такой компонент. Обнаружение вредоносных программ с помощью Webroot SecureAnywhere AntiVirus полностью основано на поведении, и система ведения журналов и отката этого инструмента для неизвестных программ может фактически отменить атаку вымогателей. Компания предупреждает, что пространство, доступное для ведения журнала и отката, ограничено.
Начало работы с Malwarebytes
Malwarebytes Anti-Ransomware - это небольшая, легкая программа, которая устанавливается в один миг. Его простое главное окно имеет всего три вкладки: Панель инструментов, Карантин и Исключения. Панель инструментов просто подтверждает, что защита активна, и предлагает ссылку для ее включения и выключения. Вы не увидите ничего в карантине, если продукт не предотвратит настоящую атаку вымогателей.
Почему вы хотите исключить файл из обнаружения? Что ж, это бета-продукт, и вполне возможно, что законный продукт шифрования может попасть в его сеть. Если вы столкнулись с таким ложным срабатыванием, просто спасите его от карантина и включите в список исключений.
Тестирование защиты от вымогателей
Тестирование защиты от вымогателей сложнее, чем тестирование защиты от вредоносных программ общего назначения. Сами вредоносные программы иногда следят за признаками тестирования и не работают. С другой стороны, если вы не будете осторожны с реальными образцами вымогателей, они могут вырваться из тюрьмы своей виртуальной машины и нанести реальный ущерб.
Такие продукты, как Panda Internet Security, которые управляют доступом к файлам, легко тестировать. У меня есть крошечные тестовые программы, которые осуществляют этот тип защиты.
Однако в случае защиты на основе поведения иногда единственным выходом для меня является использование реального вымогателя в тщательно контролируемой среде. Мое тестирование вымогателей все еще развивается. В настоящее время у меня есть три реальных примера угроз, которые я собрал с опасных веб-сайтов. Malwarebytes преуспел в моем практическом тесте.
Первый образец вымогателей - капризный. Часто он просто работает как фоновый процесс, ничего не делая. Без поведения не может быть обнаружения, основанного на поведении, поэтому Malwarebytes получает пропуск на это.
Malwarebytes поймал второго с поличным, изолировал его и попросил перезагрузить компьютер, чтобы завершить его очистку. После перезагрузки я заметил, что во время анализа поведения Malwarebytes вымогателю удалось зашифровать несколько файлов. Мне это кажется естественным следствием обнаружения на основе поведения. Без поведения вымогателей, нет обнаружения, верно? Тем не менее, мой контакт в байтах вредоносного ПО говорит, что они «очень близко к решению этой проблемы».
Третий образец также стал жертвой Malwarebytes. После перезагрузки я на мгновение подумал, что вымогатель все еще работает, потому что он отображал свои требования выкупа в виде текстового файла, документа HTML и изображения PNG. Оказывается, однако, что вымогатель просто сбросил эти файлы в папку автозагрузки, чтобы они открывались при запуске. Там не было никаких следов самого вредоносного приложения. Здесь, опять же, вредоносная программа зашифровала несколько файлов, прежде чем сработала защита.
Имитация вымогателей
Единственный полностью надежный способ проверки обнаружения вымогателей на основе поведения - это использование фактического вымогателя. Любая симуляция, которая полностью дублирует активность зашифрованной угрозы вымогателей, сама по себе будет вредоносной. Тем не менее, это не причина полностью списывать тестирование с симулированным вымогателем.
KnowBe4, компания по обучению безопасности, выпустила бесплатный инструмент под названием RanSim, предназначенный для проверки вашей защиты от вымогателей. Он запускает модули, которые реализуют десять распространенных методов шифрования вымогателей, а также два аналогичных, но безвредных метода. Теоретически, лучший продукт заблокирует все методы вымогателей и оставит безвредных в покое.
Когда я тестировал активную защиту от вымогателей, встроенную в Acronis True Image 2017 New Generation, он заблокировал все, кроме одной из имитированных атак. Конечно, полная резервная копия, защищенная от несанкционированных изменений, является отличным помощником в восстановлении после атак вредоносных программ.
RansomFree не обнаружил ни одной из симулированных атак. Его разработчики отметили, что смоделированные атаки влияют только на файлы, расположенные на нескольких уровнях ниже папки «Документы», и нигде больше. Ни один вымогатель в реальном мире не ведет себя так.
Что касается Malwarebytes, он активно защищался от восьми из 10 смоделированных атак, но пропустил два. Из-за проблем в использовании симулированных вымогателей, я считаю это плюсом, когда продукт обнаруживает модули RanSim, но я считаю сбой RanSim неинформативным, а не отрицательным.
Добавьте в свой арсенал
Malwarebytes Anti-Ransomware Beta преуспел в моем простом практическом тестировании. Конечно, некоторые вымогатели зашифровали несколько файлов, но без защиты это сделало бы намного, намного хуже. Защита от вымогателей - дело нескольких слоев. То, что один компонент пропустил, другой может поймать. Я добавил Malwarebytes в арсенал утилит, защищающих мою основную производственную систему, наряду с Norton Internet Security и Cybereason RansomFree.
