当恶意软件攻击时,你的杀毒软件有很多反击的机会。它可以将浏览器从恶意软件托管页面转移,识别文件的静态签名,使用启发式方法将其与已知的恶意软件家族相匹配,甚至通过其行为检测它。但有时所有这些防御都失败了,恶意代码最终会出现在你的电脑上。病毒更新很少会清除感染,但这在勒索软件攻击中没有多大帮助。这就是为什么一些谨慎的人喜欢加一层专门为ransomware保护比如Check Point ZoneAlarm反勒索软件。这个有用的工具通过分析勒索软件的行为来检测勒索软件,并在分析过程中逆转任何损害。
ZoneAlarm反勒索软件费用是多少?
在独立反勒索软件工具的鼎盛时期,你可以免费获得多种形式的保护。Acronis Ransomware Protection, Bitdefender Anti-Ransomware, Cybereason RansomFree, CyberSight RansomStopper, Heilig Defense RansomOff, Malwarebytes Anti-Ransomware, Trend Micro ransombuster -所有这些都是免费提供的。现在他们都走了。有些软件,如Acronis、Malwarebytes和RansomBuster,已经被纳入更大的产品中。还有一些已经不复存在。
ZoneAlarm反勒索软件,虽然不是免费的,但仍然与我们在一起。之前,它的价格是每月1.99美元,并提供30天的免费试用。试用版现在缩短到7天,价格更像一个独立的防病毒工具。保护一台个人电脑的费用是每年34.95美元。如果扩展到三个许可证,费用将提高到44.95美元,再多花10美元,你就可以保护5个设备。你甚至可以花94.95美元注册10台设备的订阅服务。在所有级别上,这些价格都在5美元以内ZoneAlarm PRO NextGen防病毒+防火墙。
的定价新盾数据哨兵是相似的。单个许可证的价格为每年23.99美元,低于之前的39.99美元。三个许可证和五个许可证的订阅价格分别为59.99美元和79.99美元。
类似的产品
至于CryptoPrevent溢价在美国,它没有多个定价层,但每年15美元的价格是其中最便宜的。不幸的是,它在测试中也被证明是最无效的。
勒索软件防护技术
ZoneAlarm的工作是通过观察活动进程来发现暗示勒索软件活动的行为。许多反病毒工具包括类似的基于行为的检测,但很少有人如此专注于勒索软件。Webroot SecureAnywhere防病毒在其他反病毒层之上增加了基于行为的勒索软件检测,其活动的日志和回滚管理应该可以让它在发现勒索软件威胁之前逆转任何欺诈行为。
ZoneAlarm不是把你的重要文件放在勒索软件战争的前线,而是在敏感文件夹里放上“诱饵”文件来帮助行为检测。cryptopprevention也使用诱饵文件,大量的。如果你配置Windows资源管理器使它们可见,你可能会被它们的数量所淹没。ZoneAlarm保持诱饵文件数量合理。
文件加密勒索软件的目的不是让你的电脑瘫痪。毕竟,你需要电脑正常工作才能支付赎金。最易受攻击的文件是你的文档、图像和其他个人文件,所以一些产品通过禁止对这些文件进行未经授权的更改来阻止勒索软件。当进程尝试未经授权的访问时,您将收到通知。如果您的新视频编辑工具触发了警告,您只需将其添加到受信任列表中。但如果警告与你正在做的任何事情都不匹配,那么就阻止程序的访问,并对恶意软件进行全面扫描。
随着许多独立的勒索软件保护工具的消失,这种基于访问的保护主要出现在防病毒程序或安全套件中。趋势科技防病毒+安全包括这种形式的保护停住一。
熊猫穹顶高级版更进一步,甚至阻止未经授权的程序的只读访问。除了阻止勒索软件之外,这种级别的保护还可以阻止窃取数据的特洛伊木马。IObit恶意软件战斗机Pro做了类似的事情,尽管在实际测试中表现不佳。
cryptopprevention中的FolderWatch功能听起来会执行类似的功能,但它没有。相反,它会分析添加到受保护文件夹中的可执行文件,以确保它们不是恶意软件。这在抵御勒索软件攻击方面几乎没有什么用处。
Data Sentinel采用了与竞争对手不同的方法。它没有尝试检测勒索软件,认为勒索软件会在提出赎金要求时宣布自己。相反,它只专注于保护您的文件和回滚任何损害。一项名为“镜像屏蔽”的功能可以对受保护文件进行虚拟化修改,因此即使勒索软件加密了这些文件,损害也不是永久性的。一键恢复将您的电脑恢复到未感染的状态,不可否认,您可能会丢失最新的更改。
在安全解决方案能够分析程序的行为以发现勒索软件的蛛丝马迹之前,它必须做到这一点看到一些行为。在分析期间,攻击者可能会加密一些文件,甚至是大量文件。正如您将看到的,恢复是这里审查的ZoneAlarm产品的主要功能。Bitdefender防病毒Plus使用行为检测和文件恢复安克诺斯网络保护总部以受保护的备份文件的形式提供可能的最终恢复选项。
开始使用ZoneAlarm反勒索软件
和其他ZoneAlarm程序一样,你启动一个安装程序,然后从网上下载最新的文件。在当前版本之前,反勒索软件工具看起来与ZoneAlarm的主要安全产品线完全不同。目前,它看起来与这条线的其余部分完全相同,只是略有不同。
就像ZoneAlarm免费防病毒NextGen与商业上的同类产品一样,该产品具有一个大的安全状态图标,要么是绿色的复选标记,要么是红色的x。大的同心圆,绿色或红色,与安全状态图标相呼应。底部的四个图标提供了四个主要功能区域:防病毒、防火墙、网络安全和反勒索软件。这里评测的产品在防病毒和防火墙图标上覆盖了“立即购买”的信息,这意味着它们不可用,而在免费的防病毒软件Web安全和反勒索软件中则标记为不可用。
与ZoneAlarm PRO NextGen防病毒+防火墙,只有反勒索软件图标被禁用,这意味着没有针对勒索软件的保护。在测试中,这被证明是不正确的,我的ZoneAlarm联系人证实,这款付费杀毒软件包括一定程度的勒索软件保护。正如我将在下面描述的那样,尽管图标显示,勒索软件保护产品还包括相当数量的反病毒保护。
Web安全恶意软件防护
这款产品和商业杀毒软件都包含一组重要的功能,名为Web Secure。单击主窗口上的Web Secure图标将显示此组件的五个方面。在浏览保护下,显示反网络钓鱼、安全浏览和内容过滤。安全下载面板包含威胁仿真和威胁提取。有关这些功能的完整概述,请参阅我对商业防病毒软件的评论。
“安全浏览”的描述说它“阻止访问不安全的网站”,但我在测试中没有看到这一点。内容过滤可以屏蔽诸如社交媒体和不合适的网站之类的东西——这似乎是一个在商业环境中很有用的功能。另一方面,反网络钓鱼被证明是非常有效的。ZoneAlarm PRO使用独特的即时分析系统,在我的实际测试中检测到100%的真实网络钓鱼样本。ZoneAlarm反勒索软件也包括同样的保护。
威胁提取是一项不寻常的功能,用于处理隐藏在Office文档和pdf等不可执行载体中的恶意代码。鱼叉式网络钓鱼其他有针对性的攻击经常使用这种技术,欺骗毫无戒心的受害者打开危险的文件。ZoneAlarm只是剥离脚本和其他恶意软件代码,留下一个干净的文档。
剩下的就是威胁仿真,它被证明是一个强大的恶意软件斗士。在对新捕获的恶意软件托管网站的测试中,它检测并消除了每一个恶意软件程序。
这个功能显然也有助于实时检测恶意软件。当我打开我的样本文件夹时,反勒索软件实用程序检测并消除了专业级反病毒程序所做的所有样本。它甚至捕获了更多的病毒,我认为这是一个壮举,因为在第一次测试期间,样本被送到了ZoneAlarm总部进行分析。在禁用威胁仿真的重复测试中,ZoneAlarm没有做任何事情,验证静态恶意软件保护与威胁仿真相关联。
打击真实世界的勒索软件
如何测试基于行为的勒索软件保护工具?真的,唯一的方法就是使用真实的勒索软件。模拟工具可能很有用,但任何完全和真正模拟勒索软件行为的模拟器本身就是勒索软件。为了检查ZoneAlarm和类似产品的勒索软件保护,我使用了在野外发现的勒索软件样本。当然,我在一个隔离的虚拟机中执行此测试,该虚拟机在每次测试后被清除到安全状态。
我提到的杀毒软件几乎清除了所有的勒索软件样本。为了独立测试反勒索软件功能,我不得不回滚虚拟机并禁用威胁仿真功能。在我尝试的10个文件加密勒索软件样本中,ZoneAlarm检测到了全部10个样本,并提出恢复任何受影响的文件。然而,它对攻击的处理方式却千差万别。
在一些情况下,唯一受影响的文件是属于ZoneAlarm本身的诱饵文件。在快速修理之后,它完成了。成功!
其他勒索软件样本成功加密了更多文件。ZoneAlarm本身的报告从未超过60个左右,但我自己的调查揭示了更多。在大多数情况下,勒索软件将加密文件重命名为具有特殊扩展名的文件,例如。jack、。crypt、。ryk或。fun。在Windows资源管理器中简单搜索一下,就会发现成百上千个这样的文件。在一个案例中,我发现有10,000个文件被更改为勒索软件的特殊扩展名。
事实证明,检查恢复特性的工作是很困难的,因为它不是一次完成的。例如,有一次我在Documents文件夹中看到了20个加密文件。在恢复之后,将这些文件与20个具有原始名称的恢复文件连接起来,然后将20个带有“(Restored1)”附加到文件名的恢复文件连接起来。在五分钟或更长时间内,加密文件慢慢消失,随后是一组恢复的文件。最终恢复到20个文件。我的ZoneAlarm联系人解释说,标记为(Restored1)的文件实际上是从备份中恢复的,而那些具有原始文件名的文件似乎没有受到勒索软件的影响。
几个样本在被发现后还运行了一段时间,提示了两次甚至三次勒索软件检测警告。ZoneAlarm最终控制住了这些问题。
在一个案例中,勒索软件使系统崩溃,导致蓝屏错误。重启后,没有被ZoneAlarm检测到,加密文件成功。然而,当我试图重复这个结果时,我做不到;ZoneAlarm每次都能捕捉到。在另一个案例中,勒索软件加密了桌面上的所有快捷方式,而ZoneAlarm的恢复只是删除了它们。
还有一件事我只能称之为失败。ZoneAlarm检测到勒索软件,但报告没有需要恢复的文件。这是错误的,因为我可以看到它加密了所有的其他勒索软件样本,以及几十个辅助Windows文件。
Bitdefender基于行为的检测错过了其中一个样本,但彻底防御了所有其他样本,没有文件丢失加密。Emsisoft反恶意软件同样地,除了一个以外,其他的都被完全防御了。
Sophos Home Premium检测到所有的样本,除了两个根本没有做什么都可以,也就是说没有什么行为可以检测。然而,在一些情况下,Sophos只是在加密了几个文件后才发现攻击,没有恢复的选择。
面对同样的勒索软件,cryptopprevention Premium完全没有给人留下深刻的印象。它的辩护只对一半的样本起了作用。其余的,它以各种方式失败,从完全错过到进入无休止的检测循环。
数据哨兵没有检测到任何勒索软件攻击,因为它本来就不打算这样做。如前所述,该产品专注于消除勒索软件攻击的影响。事实上,在每一个案例中,一键恢复和其他恢复功能都消除了勒索软件,并消除了它令人讨厌的变化。的确,这个过程可能会删除其他东西,比如你今天安装的程序,但与被勒索软件丢失文件相比,这是一个很小的代价。
有效的勒索软件防护
独立的勒索软件保护作为一个流行的软件类别可能已经跳了鲨鱼。在我们涵盖的十种产品中,只剩下三种了。在测试中,在关闭反病毒功能的情况下,Check Point ZoneAlarm Anti-Ransomware检测到10次真实世界的勒索软件攻击,并进行了一定程度的恢复,但恢复并不总是完全的。当前版本包括ZoneAlarm的防病毒的一些元素,但这可能不是一个完全积极的产品,意味着运行与现有的防病毒。
考虑到这个小领域,分配编辑选择似乎不合适。不可否认,ZoneAlarm在检测和修复方面做得很好。数据哨兵可以逆转任何勒索软件攻击,可能会以丢失最新的文件更改为代价。如果你想用专门的勒索软件保护来补充你的反病毒软件,这两种方法都值得认真考虑。
Check Point ZoneAlarm Anti-Ransomware仍然是我们测试过的最有效的勒索软件安全工具之一。它检测到了所有真实世界的勒索软件样本,尽管它的恢复系统漏掉了一些文件。