Ulasan & penilaian Cybersight ransomstopper

Perlindungan Ransomware

Ketika RansomStopper mendeteksi serangan ransomware, ini akan menghentikan proses yang menyinggung dan memunculkan peringatan di area notifikasi. Mengklik peringatan memungkinkan Anda melihat file apa yang menyebabkan masalah. Ada opsi untuk menghapus program dari daftar proses yang diblokir - bersama dengan peringatan bahwa melakukan itu adalah ide yang buruk.

Menunggu untuk mendeteksi perilaku ransomware terkadang dapat berarti bahwa ransomware mengenkripsi beberapa file sebelum penghentian. Ketika saya menguji Malwarebytes, ia kehilangan beberapa file dengan cara ini. Periksa Point ZoneAlarm Anti-Ransomware secara aktif memulihkan semua file yang dienkripsi. Dalam pengujian saya, ia melakukannya untuk setiap sampel ransomware. Namun, RansomStopper menghentikan sampel yang sama tanpa mengizinkan enkripsi file apa pun.

Untuk pemeriksaan kesehatan yang cepat, saya meluncurkan program ransomware palsu sederhana yang saya tulis sendiri. Yang perlu dilakukan adalah mencari file teks di dalam dan di bawah folder Documents dan mengenkripsi file tersebut. Ini menggunakan cipher sederhana, reversibel, sehingga menjalankan kedua mengembalikan file. RansomStopper menangkapnya dan mencegah ketidakjujurannya. Sejauh ini bagus.

Perhatian, Live Ransomware

Satu-satunya cara pasti untuk menguji perlindungan ransomware berbasis perilaku adalah dengan menggunakan live ransomware. Saya melakukan ini dengan sangat hati-hati, mengisolasi sistem pengujian mesin virtual saya dari folder yang dibagikan dan dari internet.

Tes ini dapat mengerikan jika produk anti-ransomware gagal terdeteksi, tetapi uji RansomStopper saya berjalan dengan lancar. Seperti ZoneAlarm dan Malwarebytes, RansomStopper menangkap semua sampel, dan saya tidak menemukan file yang dienkripsi sebelum deteksi perilaku dimulai. Cybereason RansomFree melakukannya dengan cukup baik, tetapi melewatkan satu.

Saya juga menguji menggunakan RanSim KnowBe4, sebuah utilitas yang mensimulasikan 10 jenis serangan ransomware. Keberhasilan dalam tes ini adalah informasi yang berguna, tetapi kegagalan dapat berarti bahwa deteksi berbasis perilaku dengan benar menentukan bahwa simulasi bukanlah ransomware yang sebenarnya. Seperti RansomFree, RansomStopper mengabaikan simulasi.

Bahaya Boot-Time Diatasi

Menjaga di bawah radar adalah masalah besar untuk ransomware. Jika memungkinkan, ia melakukan tindakan kotornya secara diam-diam, hanya mengajukan permintaan tebusan setelah mengenkripsi file Anda. Memiliki hak administrator membuat pekerjaan ransomware lebih mudah, tetapi untuk sampai ke titik itu biasanya memerlukan izin dari pengguna. Ada solusi untuk mendapatkan hak istimewa itu secara diam-diam. Ini termasuk mengatur untuk membonceng proses Winlogon pada saat boot, atau mengatur tugas yang dijadwalkan untuk waktu boot. Biasanya, ransomware hanya mengatur untuk memulai saat boot dan kemudian memaksa reboot, tanpa melakukan tugas enkripsi.

Dalam pengujian saya sebelumnya, saya menemukan bahwa ransomware dapat mengenkripsi file pada saat boot sebelum RansomStopper masuk. Program enkripsi palsu saya sendiri berhasil melakukannya. Itu mengenkripsi semua file teks di dalam dan di bawah folder Documents, termasuk file teks umpan RansomStopper. (Ya, file-file itu ada dalam folder yang disembunyikan RansomStopper secara aktif, tapi saya punya metode saya…) Itu juga melewatkan sampel ransomware dunia nyata yang saya setel untuk diluncurkan saat startup.

Desainer CyberSight menguji sejumlah solusi untuk masalah ini dan merilis versi baru yang unggul dari ransomware saat boot. Saya mengujinya; berfungsi, menghapus satu noda pada hasil tes Sterling sekarang RansomStopper.

RansomFree berjalan sebagai layanan, sehingga aktif sebelum proses reguler apa pun. Ketika saya melakukan tes yang sama, mengatur sampel ransomware dunia nyata untuk diluncurkan saat startup, RansomFree juga menangkapnya. Malwarebytes juga lulus tes ini. RansomBuster mendeteksi serangan boot-time dan memulihkan file yang terpengaruh.

Untuk mengeksplorasi lebih lanjut masalah ini, saya memperoleh sampel ransomware Petya yang menyebabkan masalah awal tahun ini. Strain khusus ini membuat sistem crash dan kemudian mensimulasikan perbaikan waktu boot oleh CHKDSK. Apa yang sebenarnya dilakukannya adalah mengenkripsi hard drive Anda. Malwarebytes, RansomFree, dan RansomBuster semuanya gagal mencegah serangan ini. RansomStopper menangkapnya sebelum itu dapat menyebabkan sistem crash - mengesankan! ZoneAlarm juga mencegah serangan Petya. Agar adil kepada yang lain, ini bukan ransomware file enkripsi khas. Sebaliknya, itu mengunci seluruh sistem dengan mengenkripsi hard drive.

Menanyakan kontak saya, saya mengetahui bahwa serangan ransomware saat boot, termasuk Petya, menjadi kurang umum. Meski begitu, saya telah menambahkan tes ini ke repertoar saya.

Teknik Lainnya

Deteksi berbasis perilaku, bila diterapkan dengan benar, adalah cara terbaik untuk memerangi ransomware. Namun, itu bukan satu-satunya cara. Trend Micro RansomBuster dan Bitdefender Antivirus Plus adalah beberapa di antara mereka yang menggagalkan ransomware dengan mengendalikan akses file. Mereka mencegah program yang tidak tepercaya membuat perubahan apa pun ke file di folder yang dilindungi. Jika program yang tidak tepercaya mencoba mengubah file Anda, Anda mendapat pemberitahuan. Biasanya, Anda mendapatkan opsi untuk menambahkan program yang tidak dikenal ke daftar tepercaya. Itu bisa berguna jika program yang diblokir adalah teks baru atau editor foto Anda. Panda Internet Security semakin jauh, mencegah program yang tidak dipercaya bahkan membaca data dari file yang dilindungi.

Penjahat Ransomware perlu berhati-hati agar mereka dapat mendekripsi file ketika korban membayar. Mengenkripsi file lebih dari satu kali dapat mengganggu pemulihan, sehingga sebagian besar menyertakan semacam penanda untuk mencegah serangan kedua. Bitdefender Anti-Ransomware memanfaatkan teknik itu untuk membodohi keluarga ransomware tertentu dengan berpikir bahwa mereka telah menyerang Anda. Perhatikan, bagaimanapun, bahwa teknik ini tidak dapat melakukan apa pun tentang jenis ransomware baru.

Ketika Webroot SecureAnywhere AntiVirus menemukan proses yang tidak diketahui, itu mulai membuat jurnal semua aktivitas dengan proses itu, dan mengirim data ke cloud untuk dianalisis. Jika prosesnya terbukti sebagai malware, Webroot mengembalikan semua yang dilakukannya, bahkan memutar kembali aktivitas ransomware. ZoneAlarm dan RansomBuster memiliki metode sendiri untuk memulihkan file. Saat komponen anti-ransomware dari Acronis True Image membunuh serangan ransomware, ia dapat memulihkan file yang dienkripsi dari cadangan amannya sendiri jika perlu.

Sekarang Pemenang

CyberSight RansomStopper mendeteksi dan memblokir semua sampel ransomware dunia nyata saya tanpa kehilangan file apa pun. Ia juga mendeteksi simulator ransomware kode tangan saya yang sederhana. Dan itu memblokir serangan oleh Petya, di mana beberapa produk yang bersaing gagal.

Sebelumnya, RansomStopper menunjukkan kerentanan terhadap ransomware yang hanya berjalan saat boot, tetapi sumber saya mengatakan jenis serangan ini menjadi kurang umum, dan CyberSight sejak itu telah memperbaiki masalah ini. Produk gratisan lain punya masalah sendiri. RansomFree melewatkan satu sampel dunia nyata, dan Malwarebytes membiarkan sampel lain mengenkripsi beberapa file tanpa bisa dikembalikan sebelum pendeteksiannya dimulai. RansomBuster bernasib lebih buruk, kehilangan setengah sampel sepenuhnya (meskipun komponen Folder Shield melindungi sebagian besar file).

RansomStopper dan Check Point ZoneAlarm Anti-Ransomware adalah pilihan utama kami untuk perlindungan ransomware khusus. ZoneAlarm tidak gratis, tetapi dengan $ 2, 99 per bulan itu juga tidak terlalu mahal. Namun, RansomStopper mengelola perlindungan penuh tanpa biaya.