Исследователи из AV-Test проверили, как 11 передовых решений противодействуют современным шифровальщикам.
Почти любая компания в сфере защиты информации утверждает, что ее продукты помогают от атак шифровальщиков-вымогателей. И это правда так. В какой-то мере все они могут остановить угрозу. Вопрос — в какой? Насколько эффективны технологии, позиционирующиеся как способные противодействовать шифровальщику?
Вопрос непростой, ведь частичная защита от шифровальщиков — спорное достижение. Если решение остановило угрозу не сразу, где гарантии, что среди пострадавших файлов не будет важных? Эксперты из независимой компании AV-Test взяли 11 продуктов класса Endpoint Protection Platform и испытали их против 113 атак, чтобы выяснить, насколько они надежны. От нас в тесте принял участие Kaspersky Endpoint Security Cloud, отлично показавший себя в рамках трех отдельных сценариев.
Защита файлов от распространенных шифровальщиков
Первый тестовый сценарий — это типичная атака шифровальщика: жертва запускает зловред, он пытается добраться до локальных файлов. Результат считается положительным только в том случае, когда в конце теста угроза нейтрализована (файлы зловреда удалены, процесс остановлен, попытки закрепления в системе пресечены), а все файлы пользователя остаются в сохранности. В сценарии было проведено 85 тестов с использованием 20 семейств шифровальщиков: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (aka Sodinokibi or Sodin), ryuk, snatch, stop и wastedlocker.
В этом сценарии использовались известные семейства зловредов, давно исследованные и добавленные во все базы вредоносного ПО, так что этот тест успешно прошли почти все. В следующих сценариях эксперты из AV-Test усложнили задачу.
Защита от атак на файлы в каталоге с предоставленным удаленным доступом
Второй сценарий предполагал наличие на защищаемой машине каталогов с файлами, доступ к которым разрешен по локальной сети. Атака велась с другого компьютера той же сети (скажем, на нем нет защитного решения, и мошенникам удалось впустить зловред, который зашифровал локальные файлы и перешел к поиску данных на соседних хостах). Использовались зловреды семейства avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (aka defray777), revil (aka Sodinokibi or Sodin) и ryuk.
Эта ситуация осложненяется тем, что защитное решение не видит запуска зловреда — только файловые операции со стороны системного процесса. То есть нет возможности проверить репутацию вредоносного процесса и файла, который его инициировал, и сканировать его тоже нельзя. В итоге выяснилось, что из 11 участников только 3 вообще хоть как-то защищают от такого типа атаки, и лишь Kaspersky Endpoint Security Cloud справляется с задачей на 100%. При этом продукт Sophos хотя и среагировал в 93% случаев, полностью защитить файлы пользователя смог только в 7%.
Защита от искусственно созданных шифровальщиков
Третий сценарий должен был показать, как продукты справляются с зловредами, которые гарантированно не встречались ранее, а следовательно, даже гипотетически не могли находиться в базах вредоносного ПО. То есть выявление угрозы производится только при помощи проактивных технологий, реагирующих на поведение зловреда. Для этого исследователи создали 14 шифровальщиков, которые при этом использовали известные, но редко применяемые злоумышленниками приемы и технологии, или же вообще оригинальные, не встречающиеся ранее техники шифрования. Как и в случае первого сценария, успехом считалось детектирование и блокирование угрозы плюс абсолютная сохранность файлов на машине жертвы и полное удаление всех следов угрозы с компьютера.
Решения показали различные результаты: некоторые (ESET и Webroot) вообще не обнаружили созданные исследователями зловреды, другие выступили более успешно (WatchGuard — 86%, TrendMicro — 64%, McAfee и Microsoft — 50%). Однако 100%-ную эффективность снова показало только одно решение — наш Kaspersky Endpoint Security Cloud.
Итоги тестов
При подведении итогов оказалось, что Kaspersky Endpoint Security Cloud со всеми тестовыми сценариями справился лучше конкурентов, защитив как от реальных угроз, так и от искусственно созданных.
Агрегированные результаты всех трех тестовых сценариев.
Кроме того, в ходе второго сценария выяснился и еще один достаточно неожиданный факт. Большинство продуктов, не справившихся с защитой файлов, тем не менее удалили текстовые файлы с требованиями выкупа. А это достаточно спорная практика. В таких файлах может содержаться техническая информация, которая может понадобиться экспертам при расследовании инцидента и мероприятиях по восстановлению информации.
Полный отчет, с детальным описанием применяемых в тесте зловредов (как реально используемых, так и созданных исследователями, можно скачать, заполнив форму на сайте.
