차례:
비디오: RansomOff by Heilig Defense (Simple Mode) Tested! (십일월 2024)
물론, 랜섬웨어는 미국의 위대한 소설에서 당신의 모든 진보를 잃고 자하는 개인에게는 두통입니다. 그러나 랜섬웨어가 생산을 중단 할 때 시간당 $ 100, 000 (또는 그 이상)이 손실 될 수있는 비즈니스가 얼마나 더 나쁜지 상상해보십시오. 최고급 비즈니스 보안 시스템은 랜섬웨어에 대한 강력한 보호가 필요하며 때로는 그러한 시스템 공급 업체가 개인 수준에서 보호 기능을 사용할 수 있도록합니다. 무료 Heilig Defense RansomOff가 여기에 해당합니다. Heilig Defense RansomOff는 고급 Hielig Defense Correlate에서 빌린 기술을 사용합니다.
비슷한 방식으로 Cybereason RansomFree는 Cybreason의 엔터프라이즈 급 제품에있는 랜섬웨어 보호를 캡슐화합니다. 그러나 RansomFree, RansomStopper 및 대부분의 다른 무료 랜섬웨어 관련 도구가 설정 및 사용자 상호 작용을 최소한으로 줄인 경우 RansomOff에는 여러 가지 모드와 모듈이 포함되어있어 때로는 혼란스러워합니다.
RansomOff는 작은 다운로드이며 빠르게 설치됩니다. 기본적으로 "손쉬운 보호"로 설명되는 단순 모드에서 실행됩니다. "랜섬 오프의 잠재력을 최대한 발휘"하기 위해 고급 모드를 선택할 수도 있습니다. 아래에서 볼 수 있듯이 테스트에서 두 모드를 모두 사용했습니다.
단순 모드
기본 단순 모드에서 RansomOff는 알림 영역 아이콘에 대한 간단한 애니메이션 이외의 위협이 종료되었다는 알림없이 백그라운드에서 완전히 업무를 처리합니다. 아이콘을 두 번 클릭하면 경고를보고 고급 모드로 전환 할 수있는 버튼이있는 작은 창이 표시됩니다.
이 모드에서 RansomOff는 랜섬웨어를 종료하지만 정리를 시도하지는 않습니다. 아이콘을 두 번 클릭 한 다음 경고보기를 클릭하여 수행 한 작업을 항상 확인할 수 있습니다. 경고 목록에는 보류중인 정리 작업이 포함되며 수동으로 시작할 수 있습니다.
테스트에서 모든 실제 랜섬웨어 샘플을 감지하고 종료했습니다. 애니메이션 아이콘을보고 경고를 확인한 다음 각 경우에 정리를 요청했습니다. 그러나 샘플의 절반 미만이 Ransomware Detected 경고를 트리거했습니다. 나머지는 HIPS-Lite Notification을보고하여 문제가있는 프로그램이 시작시 시작되도록 자체 구성을 시도했다고 알려줍니다.
온 전성 검사로서 필자는 오탐 (false positive) 테스트를 위해 유지 관리하는 컬렉션에서 여러 유틸리티를 실행하여 시작시 실행해야하는 기능을 가진 유틸리티를 선택했습니다. 모든 경우에 RansomOff는 이러한 합법적 인 프로그램을 제거했습니다. 다른 랜섬웨어 관련 유틸리티에서 이러한 종류의 동작을 관찰하지 못했습니다. HPS-Lite 기능이 합법적 인 프로그램과 악성 프로그램을 모두 제거한다는 점을 감안할 때 랜섬웨어 탐지라고 부를 수는 없습니다.
고급 모드
추가 탐색을 위해 RansomOff를 고급 모드로 전환하고 테스트를 반복했습니다. 이 모드에서 프로그램의 동작은 매우 다릅니다. 랜섬웨어를 탐지하면 무시할 수없는 경고와 함께 화면을 넘겨 문제를 처리 할 수있는 권한을 요청합니다. 결정하기 전에 자세한 내용을 보려면 클릭하십시오. 시작 시퀀스의 수정 또는 기타 의심스러운 작업이 감지되면 덜 위험한 HIPS-Lite 알림이 표시되고 변경 허용 여부를 묻습니다.
HIPS-Lite 경고에서 Block을 선택하여 샘플을 다시 실행했습니다. 결과는 간단한 모드에서 보았던 것과 비슷하지만 눈에 띄는 예외가 있습니다. 아마도 알림 표시와 관련된 지연으로 인해 RansomOff는 하나의 샘플이 파일을 삭제하기 전에 Documents 폴더의 파일을 암호화하도록 허용했습니다. 이것이 우연 인 경우를 대비하여 이것을 여러 번 시도했습니다. 매번 발생하지는 않았지만 확실히 반복 가능했습니다.
그런 다음 HIPS-Lite 경고를 트리거 한 샘플을 재 시도하고 이번에는 허용을 선택했습니다. 그것은 재앙이었다. 시작 수정을 허용하도록 RansomOff에 알리면 랜섬웨어 활동에 대한 모니터링이 중지되었습니다. Heilig Defense의 담당자는 "우리가 보는 방식은 프로세스가 무언가를하고 있다는 것을 인정하고 사용자는 어떤 방법 으로든 선택했다"고 설명했다. "결국, 사용자는 소프트웨어보다 똑똑해야하거나 최소한 허용하기 전에 조금 더 생각해야합니다."
동의 할 수 없습니다. 일반 사용자에게 중요한 결정을 내리는 보안 소프트웨어는 실수라고 생각합니다. 이전의 개인 방화벽 모델과 비슷하기 때문에 사용자는 각 프로그램이 네트워크에 액세스 할 수 있는지 여부에 대한 모든 결정을 책임집니다. 다른 랜섬웨어 보호 도구는 사용자 결정없이 작업을 수행합니다.
프로그램 기능을 명확하게 파악하기로 결정한 후 HIPS-Lite 기능을 끄고 테스트를 한 번 더 반복했습니다. 이번에는 제품이 모든 샘플에서 랜섬웨어 동작을 감지하고 차단하여 매우 만족스러운 결과를 얻었습니다. 그러나 한 번의 번거로운 샘플은 RansomOff가 파일을 해킹하기 전에 여전히 파일을 암호화했습니다.
추가 테스트
시작시 랜섬웨어가 시작될 때 실패하는 보안 프로그램이 종종 나타납니다. RansomOff가 그중 하나가 아니라고 말하고 싶습니다. Windows 시작시 시작하도록 몇 개의 샘플을 수동으로 설정하면 효과적으로 차단되었습니다.
기본적인 기본 상태 검사를 위해 가역적 XOR 암호화를 사용하여 Documents 폴더의 모든 텍스트 파일을 암호화하는 작은 프로그램을 작성했습니다. 실제 랜섬웨어는이 간단한 방식으로 암호화하지 않기 때문에 많은 랜섬웨어 보호 유틸리티는이 프로그램을 감지하지 못합니다. 그러나 RansomOff는 그것을 잡았습니다.
KnowBe4에서 RanSim 랜섬웨어 시뮬레이터도로드했습니다. 이 도구는 실제 랜섬웨어가 사용하는 10 가지 기술과 2 가지 무해한 암호화 활동을 시뮬레이션합니다. 간단한 모드에서는 RansomOff가 지워서 설치할 수 없었습니다. HIPS-Lite를 끈 상태에서 고급 모드에서 다시 시도하면 성공적인 설치를 관리했습니다.
테스트 유틸리티가 시나리오를 실행하는 동안 RansomOff의 11 가지 탐지 경고에 응답했습니다. 테스트가 끝났을 때 RanSim은 무해한 시나리오 중 하나와 함께 10 개의 시뮬레이션 된 랜섬웨어 활동을 모두 성공적으로 차단했다고보고했습니다. Acronis Ransomware Protection의 스코어는 정확히 동일합니다. 10 개의 시뮬레이션 공격을 모두 차단하는 것이 큰 장점입니다. 하나의 거짓 긍정은 작은 빼기입니다.
멋진 랜섬웨어 보호 기능
나는 눈에 거슬리지 않는 랜섬웨어 보호 도구에 익숙합니다. 메인 창은 거의 없으며 구성 설정이 전혀 없습니다. 고급 모드의 RansomOff는 문서를 파헤쳐서만 이해할 수있는 몇 가지 멋진 기능을 갖춘 출발입니다.
앱 잠금
앱 잠금은 화이트리스트 기반 보호 시스템으로, 여러 가지 작동 모드에서 기본적으로 비활성화되어 있습니다. 엄격한 모든 프로세스 모드에서는 이미 면제되지 않은 한 실행되는 모든 프로세스를 확인해야합니다. RansomOff는 새 프로세스 모드로 풀려나 Windows 세션 중에 프로세스가 처음 실행될 때만 확인을 요청합니다. Windows 프로세스, 디지털 서명 된 프로그램 파일 또는 둘 다를 제외하여 팝업을 줄일 수 있습니다.
모든 프로세스 모드에서 앱 잠금을 설정하고 Chrome을 시작했습니다. 5 개의 별개의 프로세스를 확인해야했지만 이후 출시시에는 해당 프로세스가 면제되었습니다. 기술에 정통한 사용자는 지정된 프로세스가로드 될 때 자동으로 활성화되고 해당 프로세스가 닫히면 비활성화되도록 App Lockdown을 구성 할 수 있습니다. 웹 잠금 사전 설정은 VoodooSoft VoodooShield의 작동 방식과 유사하게 브라우저 창이 활성화 될 때 활성화되도록 앱 잠금을 구성합니다.
백업 및 복원
기본적으로 사용 가능한 백업 및 복원 기능은 위협에 노출 된 파일을 백업하고 필요한 경우 랜섬웨어 활동 후 복원하는 것을 목표로합니다. 설명서에 따르면 "RansomOff는 특정 작업을 기반으로 파일의 복사본을 만들어 보호 된 공간에 저장합니다." RansomOff가 실수로 삭제 한 파일을 삭제 취소하는 옵션뿐만 아니라 변경 사항을 복원하는 프로세스를 선택하고 복원이 필요한 파일을 검색하는 여러 가지 복원 방법을 제공합니다. 테스트에서이 기능이 실제로 작동하는 것을 본 적이 없습니다. 내 문서를 암호화 한 성가신 랜섬웨어 샘플에는 도움이되지 않았습니다.
Check Point ZoneAlarm Anti-Ransomware의 복원 기능은 더 단순하고 효과적임이 입증되었습니다. 모든 경우에 암호화 된 파일을 복원하도록 제안했으며 성공적으로 수행했습니다. 테스트에서 유일한 오류는 실제로 성공했을 때 한 번보고 실패와 관련이 있습니다.
Acronis Ransomware Protection은 백업에 다른 접근 방식을 취합니다. 최대 5GB의 보호 된 폴더에 파일의 암호화 된 클라우드 백업을 생성하고 위협을 제거한 후 랜섬웨어로 손상된 파일을 복구합니다.
폴더 보호
폴더를 클릭하면 지정한 폴더에 대한 RansomOff의 권한 기반 보호가 나타납니다. Bitdefender Antivirus Plus, Trend Micro 및 기타 몇 가지와 같이 권한이없는 프로그램이 파일을 수정하는 것을 방지 할 수 있지만 몇 가지 다른 옵션을 제공합니다. 보호 된 폴더의 파일에 대한 모든 액세스를 거부하거나 해당 파일의 존재를 숨기거나 보호 된 위치에서 실행 파일 실행을 차단할 수 있습니다. 이 마지막은 임의의 이름을 가진 실행 파일을 Documents 폴더에 놓고 실행하는 TeslaCrypt와 같은 위협에 유용합니다.
혼란스럽게도 거부, 결정, 숨기기, 읽기 전용 및 실행 없음의 다섯 가지 목록 중 하나에 폴더를 추가하여 보호를 관리합니다. 폴더는 한 번에이 목록 중 하나만 차지할 수 있습니다. 시작하기 위해 문서 폴더를 거부 목록에 추가했습니다. 이는 Panda Internet Security의 유사한 기능과 같이 보호 된 파일에 대한 읽기 및 쓰기 액세스를 모두 거부해야합니다. 그러나 필자가 직접 작성한 작은 편집기가 파일을 읽고 수정하는 것을 막기 위해 아무것도하지 않았습니다.
내가 충분히주의를 기울이지 않았다는 것이 밝혀졌습니다. 선택한 폴더 아래의 화면에 "Protection not Enabled"(보호가 활성화되어 있지 않음)로 표시되었습니다. RansomOff가 보호를 시작하기 전에 하나 이상의 면제 응용 프로그램을 추가해야합니다. 보호 기능을 사용하기 위해 Windows 탐색기를 면제 목록에 추가했습니다. 그 후에 문서 폴더가 작은 편집기의 열린 파일 대화 상자에도 나타나지 않았습니다.
보호 변경을 선택하고 보호 된 폴더를 읽기 전용 목록으로 옮겼습니다. 이번에는 작은 편집기가 보호 된 폴더에서 텍스트 파일을 성공적으로로드했지만 수정 된 버전을 저장하려고하면 "스트림 쓰기 오류"라는 메시지가 나타납니다. 실망 스럽습니다. Trend Micro RansomBuster 및 기타 여러 유사한 프로그램이 액세스 시도를보고하고 응용 프로그램을 허용 목록에 추가 할 수있는 기회를 제공합니다. 새 문서 나 사진 편집기를 방금 설치하면이 시점에서 쉽게 화이트리스트에 올릴 수 있습니다.
작은 편집기를 시험하는 과정에서 Documents 폴더에서 Windows 탐색기에 나타나지 않은 많은 파일을 발견했습니다. 실제로 RansomFree 및 CyberSight RansomStopper와 같이 RansomOff는 "미끼"파일을 사용하여 탐지를 지원합니다. 일반적으로 RansomStopper와 같이 보이지 않게 숨겨 지지만 일부 상황에서는 표시됩니다.
튜닝 필요
대부분의 랜섬웨어 관련 보호 유틸리티는 사용자 상호 작용이나 구성이 거의 필요없이 조용히 작업을 수행 할 수 있도록 간소화되었습니다. 기존 안티 바이러스 보호와 함께 이러한 도구를 설치하면 간단한 보조 보호 계층이 제공됩니다. RansomOff는 문서를 완전히 읽지 않고도 당황스러운 고급 설정 및 기능을 사용하여 경쟁 업체보다 훨씬 더 복잡합니다. 테스트에서 모든 랜섬웨어 샘플을 탐지했지만 탐지에도 불구하고 그 중 하나가 파일을 암호화하도록했습니다.
기술자는 그것을 즐길 수 있지만, 현재는 일반 사용자 에게는 너무 복잡합니다. 장밋빛 측면에서 개발자는 문제를 신속하게 해결하고 심지어 리뷰 중에 몇 가지 문제를 해결하기 위해 프로그램을 업데이트하기까지합니다. 평범한 사용자에게 많은 것을 요구하지 않는 버전을 기대합니다.
간단한 인터페이스와 뛰어난 복구 기능을 갖춘 Check Point ZoneAlarm Anti-Ransomware는 랜섬웨어 보호를위한 편집자 선택입니다. 다른 보안 도구에 대한 비용을 지불하는 것이 마음에 들지 않으면 CyberSight RansomStopper는 무료이며이 영역의 편집자 선택이기도합니다.
