Najbolja zaštita protiv Ransomware-a u 2020

Ocena korisnika:  5 / 5

Zvezda aktivnaZvezda aktivnaZvezda aktivnaZvezda aktivnaZvezda aktivna
 

Vaš antivirus ili bezbednosni paket otkriva i brani od skoro svakog malicioznog programa. On lako otkriva poznate pretnje i koristi heurističke potpise zasnovane na ponašanju već poznatih pretnji, kako bi detektovao slične. Ali svako malo kreatori malvera izbacuju nešto sasvim novo, dovoljno drugačije da prevazilazi postojeću tehnologiju detekcije. Čak i kad se to dogodi, obično se rešava u roku od nekoliko dana ili čak sati.

Nije sjajno kada vaš računar zarazi virus ili trojanac, praveći pustoš nekoliko dana, a zatim biva eliminisan ažuriranjem antivirusa, ali i to je moguće preživeti. Međutim, sa ransomware-om je priča drugačija. Vaše datoteke su već kriptovane, eliminisanje počinioca ne donosi ništa dobro, a može čak i ometati vašu sposobnost da platite otkupninu ako se za to odlučite. Neki sigurnosni proizvodi počinju da uključuju zaštitne slojeve specifične za ransomware, i vi možete dodati zaštitu specifičnu za ransomware kao pomoć za postojeću bezbednost.

Još je gore kada vaše preduzeće napadne ransomware . U zavisnosti od prirode posla, svaki sat izgubljene produktivnosti košta. Srećom, dok su napadi ransomware-a u porastu, napreduje i tehnika za borbu protiv tih napada. Ovde ćemo pogledati alate pomoću kojih se možete zaštititi od ransomware-a.

Šta je Ransomware i kako dolazi do vas?

Pretpostavka ransomware-a je jednostavna. Napadač nalazi način da uzme nešto od vas i zahteva plaćanje za povraćaj. Šifrovanje datoteka, najčešći tip napada, oduzima vam pristup važnim dokumentima zamenjujući ih šifrovanim kopijama. Platite otkupninu i dobićete ključ za dešifrovanje tih dokumenata (iz iskustva – nekada pošalju ključ, a nekad ne). Postoji još jedna vrsta ransomware-a koja odbija svaku upotrebu vašeg računara ili mobilnog uređaja. Međutim, ovaj ransomware koji zaključava ekran je lakše pobediti i jednostavno ne predstavlja isti nivo pretnje kao šifrovanje datoteka. Možda je najpogubniji primer malver koji šifrira čitav vaš hard disk, čineći računar neupotrebljivim. Srećom ovaj poslednji tip je redak.

 

Ako ste pogođeni napadom ransoware-a, u početku to nećete znati. Ne pokazuje uobičajene znakove da je malver prisutan. Šifrovanje ransomvare-a radi u pozadini, sa ciljem da dovrši svoju podmuklu misiju pre nego što primetite njegovo prisustvo. Jednom kad završite sa poslom, pojaviće se, prikazujući uputstva kako da platite otkupninu i vratite datoteke. Prirodno je da počinioci zahtevaju plaćanje bez praćenja; Bitcoin je popularan izbor. Ransomware takođe može uputiti žrtve da kupe poklon karticu ili pripejd debitnu karticu i navedu broj kartice.

Što se tiče načina na koji zarazite vaš računar, vrlo često se to dogodi putem zaraženog PDF-a ili Office dokumenta poslatog u e-pošti koja izgleda legitimno. Može izgledati kao da potiče sa adrese unutar domena vaše kompanije. Izgleda da se to dogodilo sa WannaCry ransomware napadom . Ako i najmanje sumnjate u legitimnost e-pošte, nemojte kliknuti na vezu i prijavite je svom IT odeljenju.

Naravno, ransomware je samo druga vrsta malvera i bilo koji način isporuke malvera može vam ga doneti. Na primer, preuzimanje koje pokreće zlonamerna reklama na inače bezbednoj veb lokaciji. Mogli biste čak i da dobijete ovu pošast preko USB diska, mada je to ređe. Ako imate sreće, vaš uslužni program za zaštitu od malvera će ga odmah uhvatiti. Ako ne, mogli biste biti u nevolji.

CryptoLocker i drugi šifrujući zlonamerni softver

Do masovnog napada WannaCry, CryptoLocker je verovatno bio najpoznatija vrsta ransomaware-a. Pojavilo se pre nekoliko godina. Međunarodni konzorcijum agencija za bezbednost razbio je grupu koja stoji iza CryptoLocker-a , ali su druge grupe održale ime   živim, primenjujući ga na sopstvene zlonamerne kreacije.

Uklanjanje Ransomware-a

Čak i ako ransomware pređe vaš antivirus, velike su šanse da će za kratko vreme antivirusno ažuriranje ukloniti napadača iz vašeg sistema. Problem je, naravno, što uklanjanje samog ransomvare-a ne vraća vaše datoteke. Jedina pouzdana garancija oporavka je održavanje sigurnosne kopije vaših važnih datoteka u Cloud-u.

Uprkos tome, postoji slaba šansa za oporavak, u zavisnosti od toga koji je ransomware soj šifrovao vaše datoteke. Ako vam antivirus da ime, to vam je od velike pomoći. Mnogi prodavci antivirusnih programa, među kojima su Kasperski, Trend Micro i Avast, održavaju kolekciju jednokratnih uslužnih programa za dešifrovanje. U nekim slučajevima uslužnom programu je potreban nešifrovani original jedne šifrovane datoteke da bi stvari popravili. U drugim slučajevima, kao što je TeslaCript, dostupan je glavni ključ za dešifrovanje.

Ali zaista, najbolja odbrana od ransomware-a je uključuje čuvanje datoteka od preuzimanja. Postoji niz različitih pristupa za postizanje ovog cilja.

Anti-Ransomware strategije

Dobro osmišljen antivirusni program treba da eliminiše ransomware po viđenju, ali dizajneri ransomvare-a su nezgodni. Trude se da zaobiđu otkrivanje malvera zasnovanog na potpisima starih škola. I potrebna je samo jedna greška vašeg antivirusa da novi, nepoznati ransomware napad učini vaše datoteke neupotrebljivim. Čak i ako se antivirus ažurira novom definicijom koja uklanja ransomware, ne može da vrati datoteke.

Savremeni antivirusni programi dopunjuju otkrivanje zasnovano na potpisu nekim vidom nadzora ponašanja. Neki se oslanjaju isključivo na posmatranje zlonamernog ponašanja, a ne na traženje poznatih pretnji. A otkrivanje zasnovano na ponašanju, posebno usmereno na ponašanje ransomware-a, postaje sve češće.

Ransomvare obično kreće za datotekama koje se čuvaju na uobičajenim lokacijama, kao što su radna površina i direktorijum Dokumenti. Neki antivirusni alati i bezbednosni paketi sprečavaju neovlašćeni pristup tim lokacijama, sprečavajući ransomware napade. Tipično daju odobrenje za poznate dobre programe kao što su procesori teksta i proračunske tabele. U svakom pokušaju pristupa nepoznatog programa, pitaju korisnika da li dozvoljava pristup. Ako takvo obaveštenje dođe iznenada, a ništa niste sami pokrenuli, blokirajte ga!

Naravno, korišćenje mrežnog uslužnog programa za pravljenje rezervnih kopija za održavanje ažurnih rezervnih kopija vaših osnovnih datoteka je najbolja odbrana od ransomware-a. Prvo iskorenite štetni softver, možda uz pomoć tehničke podrške vaše antivirusne kompanije. Kada je taj zadatak obavljen, jednostavno vratite rezervne kopije datoteka. Imajte na umu da neki ransomvare pokušava da šifruje i vaše rezervne kopije. Backup sistemi na kojima su pohranjene rezervne kopije vaših fajlova koji se pojavljuju na virtuelnom disku mogu biti posebno ranjivi. Proverite kod svog provajdera rezervnih kopija kakvu zaštitu koriste protiv ransomware-a.

Otkrivanje ponašanja Ransomware-a

Tokom svog životnog veka, besplatni uslužni program RansomFree kompanije Cibereason imao je samo jednu svrhu: otkrivanje i sprečavanje napada ransomware-a. Jedna vrlo vidljiva karakteristika ovog uslužnog programa bila je stvaranje datoteka „mamaca“ na lokacijama koje su obično ciljane od strane ransomware-a. Svaki pokušaj modifikovanja ovih datoteka pokrenuo je uklanjanje ransomware-a. Takođe se oslanjao na druge oblike otkrivanja zasnovanog na ponašanju, ali njegovi tvorci prirodno nisu bili voljni da ponude mnogo detalja. Zašto reći lošim momcima kakvo ponašanje treba da izbegavaju? Avaj, održavanje ovog besplatnog proizvoda za potrošače pokazalo se nepraktičnim za kompaniju usredsređenu na preduzeća.

Kaspersky Security Cloud Free, Heilig Defense RansomOff i još nekolicina drugih takođe koriste otkrivanje zasnovano na ponašanju kako bi uklonili bilo koji ransomware koji pređe vaš antivirus. Ne koriste datoteke „mamaca“, već pažljivo prate kako se programi odnose prema vašim dokumentima. Otkrivajući ransomware, pretnju stavljaju u karantin.

Check Point ZoneAlarm Anti-Ransomware takođe je koristio datoteke mamaca, ali one nisu toliko vidljive kao RansomFree. I očigledno koristi druge slojeve zaštite. Pobedio je sve naše uzorke „stvarnog sveta za otkupninu“ tokom testiranja, popravljajući sve pogođene datoteke i čak uklanjajući lažne napomene o otkupnini koje je prikazao jedan uzorak.

 

Vebroot SecureAnywhere AntiVirus oslanja se na obrasce ponašanja da bi otkrio sve vrste malvera, a ne samo ransomware. Ostavlja poznate dobre procese na miru i eliminiše poznati malver. Kada program ne pripada nijednoj grupi, Vebroot pažljivo prati njegovo ponašanje. Blokira nepoznate osobe da uspostavljaju internet konekcije i beleži svaku lokalnu akciju. U međuvremenu, u centru Vebroot, nepoznati program prolazi duboku analizu. Ako se pokaže zlonamernim, Vebroot koristi evidentirane podatke da poništi svaku radnju programa, uključujući šifrovanje datoteka. Kompanija upozorava da baza podataka dnevnika nije neograničene veličine i savetuje da se prave sve rezervne kopije svih važnih datoteka.

Ako besplatni Trend Micro RansomBuster otkrije sumnjiv proces u pokušaju šifrovanja datoteke, pravi rezervnu kopiju datoteke i nastavlja da je nadgleda. Kada brzo otkrije višestruke pokušaje šifrovanja, stavlja datoteku u karantin, obaveštava korisnika i pravi rezervne kopije datoteka. Tokom testiranja, ova karakteristika je propustila polovinu stvarnih uzoraka ransomware-a koje smo joj zadali. Trend Micro potvrđuje da je ransomware zaštita bolja sa višeslojnom zaštitom Trend Micro Antivirus + Security.

Osnovna svrha Acronis True Image je rezervna kopija, naravno, ali Acronis Active Protection modul nadgleda i sprečava ponašanje ransomware-a. Koristi belu listu kako bi izbegao lažno označavanje važećih alata kao što je softver za šifrovanje . Takođe aktivno štiti glavni Acronisov proces od modifikacija i osigurava da nijedan drugi proces ne može pristupiti sigurnosnim kopijama datoteka. Ako ransomware uspe da šifruje neke datoteke pre uklanjanja, Acronis ih može vratiti iz najnovije rezervne kopije.

Takođe možete besplatno dobiti istu aktivnu zaštitu u obliku Acronis Ransomware zaštite. Ovaj uslužni program radi zajedno sa antivirusom kao još jedan nivo zaštite od ransomware-a i uključuje 5 GB prostora za rezervne kopije najvažnijih datoteka. Acronis Ransomvare Protection može vratiti datoteke oštećene ransomware-om iz lokalne keš memorije; rezervna kopija na mreži je još jedna linija odbrane.

 

Sprečavanje neovlašćenog pristupa

Ako potpuno novi ucenjivački program pređe Bitdefender Antivirus Plus, neće moći da napravi veliku štetu. Bitdefender blokira pokušaje bilo kojeg neovlašćenog programa da modifikuje, izbriše ili kreira datoteke u zaštićenoj fascikli. Lista zaštićenih direktorijuma uključuje dokumente, radnu površinu, slike, muziku i video zapise, kao i fascikle na uslugama sinhronizacije datoteka kao što su OneDrive, Dropbox, Box i Google Drive. Avast je dodao vrlo sličnu funkciju u Avast Internet Security i Avast Premier.

U antivirusnom programu Trend Micro, funkcija Folder Shield štiti datoteke u dokumentima i slikama, u lokalnim direktorijumima koji predstavljaju online skladište i na USB diskovima. Besplatni, samostalni RansomBuster  štiti samo dva izabrana foldera i njihove podfoldere. Nijedan neovlašćeni program ne može brisati ili menjati datoteke u zaštićenoj zoni, iako je kreiranje datoteka dozvoljeno. Pored toga, kompanija nudi i ransomware hotline koja je dostupna svima, čak i onima koji nisu korisnici . Na stranici hotline-a možete pronaći alate za pobedu nad nekim screen locker-om i dešifrovanje nekih datoteka šifrovanih ransomware-om.

Panda Dome Essential i Panda Dome Complete nude funkciju nazvanu Data Shield. Podrazumevano, Data Shield štiti direktorijum Dokumenti (i njegove podmape) za svaki WIndows korisnički račun. Štiti određene tipove datoteka, uključujući Microsoft Office dokumente, slike, audio datoteke i video. Ako je potrebno, možete dodati još direktorijuma i tipova datoteka. A Panda štiti od neovlašćenog pristupa, čak i čitajući podatke zaštićene datoteke, tako da zabranjuje i trojance koji kradu podatke.

Testiranje ove vrste odbrane je dovoljno lako. Napisali smo vrlo jednostavan uređivač teksta, zagarantovano da ga ransomware zaštita neće staviti na belu listu. Pokušali smo da pristupimo i izmenimo zaštićene datoteke. I u gotovo svakom slučaju potvrdili smo da je odbrana funkcionisala.

 

Oporavak datoteka

Najsigurniji način za preživljavanje ransomware napada je održavanje sigurne, ažurne rezervne kopije svih vaših osnovnih datoteka. Pored pravljenja rezervnih kopija datoteka, Acronis True Image aktivno radi na otkrivanju i sprečavanju napada ransomware-a. Očekujemo da ćemo slične karakteristike videti i u drugim alatkama za pravljenje rezervnih kopija.

 

Acronis Ransomware Protection može vratiti datoteke oštećene ransomware-om iz lokalne keš memorije. Poput svog velikog brata True Image, on nudi rezervne kopije na mreži kao drugu opciju za oporavak, ali ima samo 5 GB prostora za skladištenje. CriptoDrop Anti-Ransomvare je čuvao kopije vaših osetljivih datoteka u sigurnoj fascikli koja nije vidljiva nijednom drugom procesu. Ali iako CriptoDrop veb lokacija i dalje postoji, postala je neobična mešavina oglasa i ostataka sadržaja.

 

Kao što je napomenuto, kada Trend Micro otkrije sumnjiv proces šifrovanja datoteke, pravi rezervnu kopiju datoteke. Ako uoči nalet sumnjivih aktivnosti šifrovanja, smešta proces u karantin i vraća rezervne kopije datoteka. ZoneAlarm takođe prati sumnjive aktivnosti i popravlja svaku štetu nastalu procesima za koje se ispostavilo da su ransomware.

 

Sa RansomOff-om dobijate pravi „švedski sto“ zaštite. Blokira neovlašćeni pristup datotekama, otkriva ponašanje ransomware-a i pravi rezervne kopije na vreme u slučaju da je potreban oporavak. Problem je što svi ovi izbori čine proizvod koji je pomalo težak za upotrebu i razumevanje.

 

Novi korisnik NeuShield Data Sentinel zauzima neobičan pristup. S obzirom da ransomware mora najaviti svoje prisustvo da bi zatražio otkupninu, ne pokušava da otkrije aktivnost istog. Umesto toga, virtuelizuje promene sistema datoteka u zaštićene fascikle i omogućava vam da poništite sve promene nakon napada. Takođe koristi ugrađenu tehnologiju Sistem Restore da bi se rešio samog ransomware-a. U testiranju se pokazalo efikasnim, mada biste mogli izgubiti ceo dan na promene u datotekama.

 

Ransomvare „vakcinacija“

Izvršioci ucenjivačkog softvera gube kredibilitet ako ne dešifruju datoteke za one koji plate otkupninu. Višestruko šifrovanje istog skupa dokumenata moglo bi otežati ili čak onemogućiti izvođenje tog dešifrovanja. Stoga većina ransomware programa uključuje neku vrstu provere kako ne bi napadali već zaraženi sistem. Na primer, Petia ransomware je u početku upravo proverio prisustvo određene datoteke. Stvaranjem lažne verzije te datoteke mogli biste efikasno da zaštitite računar protiv Petie.

 

Bitdefender Anti-Ransomware je tokom svog postojanja vrlo specifično sprečio zarazu od strane TeslaCript, BTC-Locker, Locki i prvog izdanja Petie. Nije imalo uticaja na Sage, Cerber, novije verzije Petie ili bilo koju drugu porodicu ransomware-a. I sigurno nije mogao da pomogne protiv potpuno novog soja, onako kako to može sistem za otkrivanje zasnovan na ponašanju. Ova ograničenja, zajedno sa neprestano promenljivom prirodom malvera, dovela su do toga da je Bitdefender povukao alat, oslanjajući se na moćnu ransomware zaštitu svog punog antivirusa.

Testiranje alata protiv ucenjivačkog programa

Najočigledniji način za testiranje zaštite od ransomware-a je puštanje stvarnog ransomware-a u kontrolisano okruženje i posmatranje koliko se proizvod brani od njega. Međutim, to je moguće samo ako vam proizvod omogućava da isključite svoj uobičajeni antivirus u realnom vremenu, a da detekcija ransomware-a ostane aktivna. Naravno, testiranje je jednostavnije kada je proizvod posvećen isključivo ransomware zaštiti, bez antivirusne komponente opšte namene.

Pored toga, sa uzorcima ransomware-a teško je izaći na kraj. Iz sigurnosnih razloga pokrećemo ih u virtuelnoj mašini bez veze sa Internetom ili mrežom. Neki se uopšte neće pokretati u virtuelnoj mašini. Drugi ne rade ništa bez internet veze. A oni su jednostavno opasni! Kada analiziramo novi uzorak i odlučujemo da li ćemo ga dodati u kolekciju, držimo otvorenu vezu do fascikle dnevnika na hostu virtuelne mašine. Sada smo dva puta imali uzorak ransomware-a i započeli šifrovanje tih evidencija.

KnowBe4 je specijalizovan za obuku pojedinaca i zaposlenih kako bi se izbegli phishing napadi. Phishing je jedan od načina da koderi zlonamernog softvera distribuiraju ransomware, tako da su programeri u kompaniji KnovBe4 stvorili simulator ransomware softvera nazvan RanSim. RanSim simulira 10 vrsta ransomware napada, zajedno sa dva bezazlena (ali slična) ponašanja. Dobar RanSim rezultat je definitivno plus, ali nizak rezultat ne tretiramo kao minus. Neki sistemi zasnovani na ponašanju, poput RansomFree, ne otkrivaju simulaciju, jer nijedan stvarni ransomware ne ograničava svoje aktivnosti na podmape na četiri nivoa ispod direktorijuma Documents.

 

Šta nije ovde

Ovaj članak se posebno bavi rensomware rešenjima za zaštitu koja su dostupna potrošačima. Nema svrhe uključivati besplatne, jednokratne alate za dešifrovanje, jer alat koji vam treba u potpunosti zavisi od toga koji je ransomware šifrovao vaše datoteke. Prvo sprečiti napad.

CriptoPrevent Premium, stvoren kada je CriptoLocker bio nov, obećao je nekoliko nivoa zaštite zasnovane na ponašanju ransomware-a. Međutim, na najvišem nivou zaštite preplavio je radnu površinu datotekama mamaca, pa čak i na ovom nivou, nekoliko stvarnih uzoraka je prošlo mimo njegovog otkrivanja. Ne možemo preporučiti ovaj alat u trenutnom obliku.

Takođe smo izostavili ransomware rešenja namenjena velikim preduzećima , koja obično zahtevaju centralno upravljanje ili čak namenski server. Na primer, Bitdefender GravityZone Elite i Sophos Intercept Ks su izvan dometa naših recenzija, mada ove usluge mogu biti vredne.

Acronis True Image pruža sjajnu ransomware zaštitu i oporavak, ali u osnovi je rezervni alat. Dali smo mesto na vrhu liste njegovom ransomware-orijentisanom rođaku, Acronis Ransomvare Protection.

Zaista nam se svideo CiberSight RansomStopper, dovoljno da postane izbor urednika. Međutim, kompanija je netragom nestala, a naši pokušaji da saznamo više nisu dali rezultate. Proizvod i dalje možete pronaći na veb lokacijama koje hostuju i spajaju besplatni softver, ali s obzirom na nestanak same kompanije, proizvod više ne možemo preporučiti. Bitdefender Anti-Ransomware, CryptoDrop Anti-Ransomware i Cibereason RansomFree takođe su opali.

 

Mere zaštite

Vraćanje datoteka nakon napada je dobro, ali još je bolje potpuno sprečiti taj napad. Gorenavedeni  proizvodi imaju različite pristupe zaštiti datoteka. Ransomvare zaštita je polje u razvoju; velike su šanse da će se, kako evoluira ransomware, razvijati i anti-ransomware uslužni programi. Za sada je ZoneAlarm Anti-Ransomware pokazao kao najbolji izbor za sigurnosnu zaštitu specifičnu za ransomware. Otkrio je sve naše uzorke ransomware-a, uključujući Petia koji šifrira disk i popravio sve datoteke oštećene ransomware-om. Ako se vaš budžet ne ograničava na plaćanje dodatka za zaštitu od ransomware-a, razmislite o besplatnom rešenju poput Acronis Ransomware Protection.

Izvor: pcmag.com