Быстрый тест на обнаружение шифровальщиков и криптомайнеров
Сегодня мы предлагаем вам увидеть процесс проведения небольшого теста, а именно проверки качества детектирования и блокировки шифровальщиков. Для этого мы будем использовать специальную утилиту RanSim от широко известной компании KnowBe4.
RanSim это бесплатный инструмент, который симулирует активность более 20 видов шифровальщиков и нескольких криптомайнеров. Программа абсолютно безопасна для пользователя и не затрагивает реальные файлы. Подробнее можно почитать здесь.
Рис. 1. Краткое описание RanSim и как это работает
Кроме Check Point Harmony Endpoint Protection (бывший SandBlast Agent) мы будем тестировать классический Windows Defender. Почему именно его? Потому что он есть у всех пользователей Windows и в целом показывает отличные результаты по борьбе с классическими вирусами. Но что у него с защитой от шифровальщиков? Это и проверим.
Больше статей и инструкции по продуктам вендора Check Point ищите тут
После того как мы скачали RanSim, мы одновременно запустили его на двух абсолютно одинаковых машинах, на одной был только Windows Defender, на другой — Check Point Harmony Endpoint Protection с включенным модулем защиты от шифровальщиков. Все настройки по умолчанию, без какой-то специальной кастомизации. Вот результаты:
Результаты Windows DefenderРис. 2. Результаты тестирования Windows Defender
Как видно, Windows Defender абсолютно не справился с задачей. Единственный шанс в борьбе с шифровальщиком, в данном случае, это если вы “поймаете” уже старый шифровальщик и он будет заблокирован по сигнатуре. Поведенческий анализ, к сожалению, в данном случае не спасает.
Результаты Check Point HarmonyРис. 3. Результаты тестирования Check Point Harmony Endpoint Protection
А здесь уже совсем другая картина. Не прошла ни одна атака шифровальщика. И это с дефолтными настройками, которые не требуют серьезных знаний от администратора.
Заключение
Шифровальщики до сих пор остаются одной из главных угроз для пользователей и компаний. Ваши данные могут быть либо уничтожены, либо может потребоваться огромная сумма денег для их расшифровки.
Можно надеяться на сигнатурный анализ, а можно настроить более продвинутую защиту. Здесь каждый решает сам.
Если вы используете другое решение, то очень рекомендуем провести этот простой тест с помощью RanSim!
Источник: habr.com