Revisión de Check Point ZoneAlarm Anti-Ransomware

Las mejores utilidades antivirus utilizan muchas capas de protección, como la búsqueda de coincidencias con las firmas de malware, el análisis heurístico y la detección basada en el comportamiento. De vez en cuando, sin embargo, algún atacante nuevo pasa por todas las capas y planta algún código desagradable en su PC. Por lo general, una actualización de antivirus elimina la infestación de malware en unos pocos días, o incluso horas, pero aún no comience la fiesta. Si el ataque involucró ransomware, la eliminación del malware aún deja sus archivos encriptados e inaccesibles. Al agregar una capa de protección diseñada específicamente para la protección contra ransomware, algo como Check Point ZoneAlarm Anti-Ransomware puede evitar la posibilidad de perder sus archivos esenciales.

El código base de esta utilidad proviene de un sistema de protección de nivel empresarial más grande, el análisis forense empresarial de Check Point. RansomFree también se basa en el código del sistema de seguridad empresarial de su fabricante. Sin embargo, el código de Malwarebytes Anti-Ransomware Beta va en la dirección opuesta. Después de que la última tecnología ha estado dando vueltas en el ámbito del consumidor por un tiempo, la compañía la usa para mejorar Malwarebytes Anti-Ransom for Business.

Acronis, Bitdefender, Ransomfree, RansomStopper, Malwarebytes y RansomBuster son totalmente gratuitos. ZoneAlarm no es gratis, pero a $ 1.99 por mes después de una prueba gratuita de 30 días (o $ 2.99 por mes por tres licencias), no es caro.

Técnicas de protección contra ransomware

RansomStopper, RansomFree y ZoneAlarm se encuentran entre los que funcionan al observar los procesos activos en busca de comportamientos que sugieran actividad de ransomware. Webroot SecureAnywhere AntiVirus ($ 18.99 Más del 50% de descuento exclusivo para Openfotosuben Webroot) agrega detección de ransomware basada en el comportamiento sobre sus otras capas de antivirus, y su gestión de actividad de diario y reversión debería permitirle revertir cualquier artimaña de una amenaza de ransomware perpetrado antes de su descubrimiento.

Sin embargo, la detección basada en el comportamiento es solo una técnica. Hay otras formas de que los productos de seguridad implementen la protección contra ransomware. Por ejemplo, Bitdefender Anti-Ransomware utiliza una técnica de “vacunación” que previene la infección al hacer que el ransomware de ciertas familias específicas piense que la PC ya está encriptada.

El objetivo del ransomware de cifrado de archivos no es deshabilitar su computadora. Necesitarás que esa computadora funcione para pagar el rescate, después de todo. Los archivos más vulnerables son sus documentos, imágenes y otros archivos personales, por lo que algunos productos frustran el ransomware al prohibir los cambios no autorizados en estos archivos. Bitdefender Antivirus Plus, Trend Micro RansomBuster y Panda Internet Security se encuentran entre los productos que utilizan este tipo de protección. Cuando un proceso intenta un acceso no autorizado, recibe una notificación. Si su nueva utilidad de edición de imágenes activó la advertencia, simplemente agréguela a la lista de confianza. Pero si la advertencia no coincide con nada de lo que estás haciendo, ¡bloquéala!

Panda Dome Advanced va un paso más allá, bloqueando incluso el acceso de solo lectura de programas no autorizados. Además de evitar el ransomware, este nivel de protección también puede servir para frustrar a los troyanos que roban datos.

Antes de que una solución de seguridad pueda analizar el comportamiento de un programa en busca de signos reveladores de ransomware, debe detectar algún comportamiento. Durante ese período de análisis, el atacante podría cifrar algunos archivos, o incluso muchos archivos. Acronis Ransomware Protection incluye detección basada en el comportamiento junto con su función de copia de seguridad central, pero también puede restaurar automáticamente cualquier archivo cifrado desde una copia de seguridad segura en línea. ZoneAlarm también tiene como objetivo restaurar cualquier archivo afectado por ransomware.

Introducción a ZoneAlarm Anti-Ransomware

Puede usar este producto gratis durante 30 días y ni siquiera tiene que proporcionar la información de la tarjeta de crédito. Puede cancelar sin cargo hasta el plazo de 30 días, pero luego pagará $ 1.99 por mes.

La instalación es rápida y sencilla. En cuestión de minutos, verá la ventana principal grande y súper simple. Todo lo que dice es que protege sus archivos del ransomware. No hay configuraciones, ni registros, nada más que esa pantalla simple y tranquilizadora. Puede minimizar el programa a su icono en el área de notificación y no pensar en él nunca más … hasta que el ransomware ataque. Es posible que observe algunos archivos nuevos en su carpeta Documentos y en otros lugares; como Cybereason RansomFree y RansomStopper, ZoneAlarm crea archivos de “cebo” para ayudar a detectar el comportamiento del ransomware.

Lucha contra el ransomware del mundo real

¿Cómo se prueba una herramienta de protección contra ransomware basada en el comportamiento? En verdad, la única forma de hacerlo es utilizando ransomware en vivo del mundo real. Las herramientas de simulación pueden ser útiles, pero cualquier simulador que emulara completa y verdaderamente el comportamiento del ransomware sería en sí mismo ransomware. Para comprobar la protección contra ransomware de ZoneAlarm y productos similares, utilizo muestras de ransomware que se encuentran en la naturaleza. Naturalmente, realizo esta prueba en una máquina virtual aislada que se borra después de cada prueba.

Lo agrego a mi colección de ransomware a medida que encuentro nuevas muestras, pero no arrojo las viejas. Las herramientas de protección contra ransomware no son como simples utilidades antivirus. No buscan atacantes conocidos, sino comportamientos de ataque. Por tanto, no hay nada de malo en utilizar muestras más antiguas. Ya probé ZoneAlarm con la mayoría de mis muestras actuales, pero repetí la prueba independientemente. Me alegro de haberlo hecho, porque al hacerlo reveló un problema (solucionado rápidamente) con una versión del software.

Poco después de lanzar la primera muestra, apareció la ventana principal de ZoneAlarm con una gran advertencia de que había detectado un ataque de ransomware. Una ventana emergente transitoria estilo tostadora también anunció este descubrimiento. Mis contactos de Check Point señalaron que esta ventana emergente no es redundante. Si está enredado en una aplicación de interfaz de usuario moderna, verá la ventana emergente, pero no la ventana principal.

Después de un rato, la aplicación anunció que puso en cuarentena el ransomware. Advirtió que el ataque cambió algunos archivos y se ofreció a reparar los archivos afectados. Ni siquiera estoy seguro de por qué esto es opcional, ¿quién diría que no para repararlo? Para las pruebas siempre elegí la opción de reparación.

En la página que enumera los archivos afectados, hay un enlace titulado No ransomware. En el raro caso de que ZoneAlarm identifique accidentalmente un programa válido como ransomware, hacer clic en este enlace es su oportunidad de rescatar el programa. No vi ningún falso positivo, por lo que en cada caso elegí reparar los archivos y luego verifiqué el estado de esos archivos. ZoneAlarm restauró los archivos cifrados y eliminó las notas de rescate y otros archivos auxiliares caídos por el ransomware.

En un caso, el ransomware había acabado con el Explorador de Windows, sin dejar nada visible excepto su nota aleatoria. Cuando ZoneAlarm terminó, todo lo que tenía era una pantalla en blanco para mirar. Tuve que abrir el Administrador de tareas y volver a iniciar el Explorador de Windows. Repitiendo la prueba, descubrí que forzar un restablecimiento completo también funcionó.

El ataque de ransomware Petya difiere de todas mis otras muestras. En lugar de cifrar archivos, simula un bloqueo del sistema y pretende estar ejecutando CHKDSK al reiniciar. Detrás de escena, está encriptando todo su disco duro. No solo pierde archivos con Petya; pierde todo el acceso a su computadora.

Cuando lancé la muestra de Petya, ZoneAlarm la detectó de inmediato, al igual que RansomStopper y Acronis. No he probado todos los productos de protección contra ransomware contra Petya, pero CryptoDrop Anti-Ransomware, Malwarebytes y RansomFree no se defendieron del ataque de Petya.

Al final, ZoneAlarm resultó ser un éxito total contra todas mis muestras de ransomware del mundo real. RansomFree detectó mis muestras, pero no limpió cosas como notas de rescate. Malwarebytes permite que el ransomware cifre algunos archivos antes de lograr detener el proceso. Acronis perdió por completo una de mis muestras, pero por lo demás lo hizo bien. CryptoPrevent Premium se perdió la mayoría de mis muestras, a pesar de abrumar el escritorio con una gran cantidad de archivos de cebo. Solo RansomStopper lo hizo mejor, bloqueando todas las muestras sin requerir una fase de limpieza posterior.

El ransomware simulado no carece de valor. Una solución de ransomware puede demostrar su éxito bloqueando las simulaciones. Simplemente no tomo la falla en bloquear ataques simulados como una falla real. Anteriormente, cuando intenté probar ZoneAlarm usando el simulador de ransomware RanSim de KnowBe4, eliminó los procesos auxiliares del programa, haciendo imposible la puntuación. Esta vez demostró ser menos torpe, bloqueando con éxito los 10 escenarios de simulación y dejando el programa vivo para informar ese éxito.

Un comienzo falso aterrador

A mitad de mis pruebas, esta revisión se lee de manera muy diferente. Estaba lleno de comentarios acerca de que ZoneAlarm fallaba repetidamente y no solucionaba los problemas de ransomware. Durante esa ronda de pruebas, ZoneAlarm logró un éxito total en menos de la mitad de mis muestras.

Buscando en los registros con mis contactos en la empresa, supe lo que sucedió. Check Point lanzó una versión incorrecta del producto, una sujeta a fallas, pero la reemplazó rápidamente en el enlace de descarga oficial, el que se proporciona a los clientes que pagan. Desafortunadamente, el enlace de descarga de la versión de prueba retuvo el código defectuoso. Descargué la versión de prueba y luego actualicé usando una clave de registro, lo que me dejó con la versión propensa a fallas.

Solucionamos el problema y ZoneAlarm una vez más demostró ser totalmente eficaz. Pero me pregunto cuántas personas obtuvieron un código incorrecto del enlace de prueba antes de que se arreglara. ¿Y por qué la edición de prueba no se actualizó automáticamente al último y mejor código? Este comienzo en falso aterrador estropeó una actuación excelente.

La mejor protección contra ransomware

La protección contra ransomware es todavía un campo nuevo, con nuevos productos apareciendo todo el tiempo. Entre las herramientas específicas de ransomware que he visto, ZoneAlarm Anti-Ransomware es un claro ganador. Manejó con éxito todas mis muestras de ransomware de la vida real y corrigió todos los cambios realizados por los procesos de ransomware, incluida la eliminación de las notas de rescate que algunos otros productos dejan. Si está preocupado por el ransomware (y debería estarlo), el precio de $ 1.99 por mes puede parecer correcto.

Si no está listo para gastar el precio de una taza de café cada mes, aún puede obtener una protección efectiva contra el ransomware. CyberSight RansomStopper no cuesta un centavo y funcionó tan bien en las pruebas como ZoneAlarm. Se podría argumentar que lo hizo mejor. Donde ZoneAlarm reparó todos los archivos afectados, RansomStopper nunca permitió el cifrado en primer lugar. Estos dos son nuestros productos Editors ‘Choice para protección dedicada contra ransomware.