Revisión y calificación de Malwarebytes anti-ransomware beta

Su utilidad antivirus con todas las funciones probablemente hace un muy buen trabajo al mantener su PC libre de malware. Sin embargo, nadie es perfecto, así que de vez en cuando un nuevo virus o troyano puede pasar la protección en tiempo real. Incluso entonces, una actualización antivirus generalmente aclara la situación en poco tiempo. Pero si la amenaza que se deslizó fue encriptar el ransomware, estás en problemas. Claro, el antivirus actualizado puede eliminar el programa ofensivo, pero el daño ya está hecho. Sus archivos permanecen encriptados e inaccesibles. Malwarebytes Anti-Ransomware Beta tiene como objetivo salvar este dolor al atrapar cualquier ransomware que su antivirus omita.

No se asuste por la "beta" en el nombre. Este producto gratuito está perpetuamente en prueba beta y recibe la última tecnología de lucha contra el ransomware de Malwarebytes. Más tarde, cuando se han suavizado los puntos difíciles, la compañía traslada esa tecnología al Malwarebytes Anti-Ransomware para empresas comercial. Esto satisface al equipo de TI, que generalmente prefiere tecnología un poco más antigua a la vanguardia.

Naturalmente, obtienes protección contra ransomware como parte del reemplazo de antivirus a gran escala de la compañía, Malwarebytes 3.0 Premium. El producto de protección de ransomware independiente funciona junto con su antivirus existente, trabajando para detectar cualquier cosa que el antivirus principal pierda.

Estilos de protección contra ransomware

Hay varias formas diferentes en que los productos de seguridad implementan la protección contra ransomware. Una forma implica controlar el acceso a ubicaciones protegidas, tipos de archivos protegidos o ambos. Los buenos programas conocidos, como los componentes de Windows y los programas de Office, obtienen luz verde. Cuando una aplicación desconocida intenta acceder, el producto de seguridad advierte al usuario de un posible ataque de ransomware. Si es solo un nuevo editor de documentos, el usuario puede incluirlo en la lista blanca con un clic; si es ransomware, otro clic lo envía a cuarentena.

Algunos productos simplemente evitan cambios en los archivos protegidos. Otros, como IObit Malware Fighter 5 Pro y Panda Internet Security, incluso evitan la lectura no autorizada de datos de archivos protegidos. Este tipo de protección también evita que los troyanos que roban datos extraigan sus datos privados.

Es concebible que un proceso complicado de ransomware pueda hacer su acción sucia al subvertir un programa incluido en la lista blanca o encontrar otra forma de sortear las limitaciones de acceso. Incluso si eso sucediera, un producto que detecta ransomware en función de su comportamiento podría frustrar el ataque. Así es como funciona Malwarebytes Anti-Ransomware. Cybereason RansomFree adopta un enfoque similar.

También encontrará capas de protección específicas para ransomware en varios productos antivirus estándar. Bitdefender y Trend Micro incluyen dicho componente. La detección de malware por Webroot SecureAnywhere AntiVirus está completamente basada en el comportamiento, y el sistema de registro y reversión de esta herramienta para programas desconocidos en realidad puede revertir un ataque de ransomware. La compañía advierte que el espacio disponible para el diario y la reversión es limitado.

Comenzando con Malwarebytes

Malwarebytes Anti-Ransomware es un programa pequeño y liviano que se instala en un santiamén. Su ventana principal simple tiene solo tres pestañas: Panel, Cuarentena y Exclusiones. El tablero simplemente confirma que la protección está activa y ofrece un enlace para activar y desactivar la protección. No verá nada en cuarentena a menos que el producto frustra un ataque de ransomware real.

¿Por qué querrías excluir un archivo de la detección? Bueno, este es un producto beta, y es concebible que un producto de cifrado legítimo pueda quedar atrapado en su red. Si encuentra un falso positivo, solo rescátelo de la cuarentena y colóquelo en la lista de exclusiones.

Prueba de protección contra ransomware

Probar la protección contra ransomware es más difícil que probar la protección contra malware de uso general. Los programas maliciosos mismos a veces observan signos de pruebas y son bajos. Por otro lado, si no tiene cuidado con las muestras de ransomware del mundo real, pueden escapar de su prisión de máquina virtual y causar daños reales.

Los productos como Panda Internet Security que funcionan controlando el acceso a los archivos son fáciles de probar. Tengo pequeños programas de prueba que ejercen este tipo de protección.

Sin embargo, con la protección basada en el comportamiento, a veces mi único recurso es usar ransomware real, en un entorno cuidadosamente controlado. Mi prueba de ransomware todavía está evolucionando. En la actualidad, tengo tres muestras del mundo real, amenazas que obtuve de sitios web peligrosos. A Malwarebytes le fue bien en mi prueba práctica.

La primera muestra de ransomware es de mal humor. Con frecuencia, solo se ejecuta como un proceso en segundo plano sin hacer nada. Sin comportamiento, no puede haber detección basada en el comportamiento, por lo que Malwarebytes consigue pasar este.

Malwarebytes atrapó al segundo con las manos en la masa, lo puso en cuarentena y solicitó un reinicio para finalizar su limpieza. Después de reiniciar, observé que durante el análisis de comportamiento realizado por Malwarebytes, el ransomware logró cifrar varios archivos. Para mí, eso parece una consecuencia natural de la detección basada en el comportamiento. Sin el comportamiento del ransomware, no hay detección, ¿verdad? Sin embargo, mi contacto en bytes de Malware dice que están "muy cerca de resolver esto".

La tercera muestra también cayó presa de Malwarebytes. Después de reiniciar, pensé por un momento que el ransomware todavía se estaba ejecutando, porque mostraba su demanda de rescate como un archivo de texto, un documento HTML y una imagen PNG. Sin embargo, resulta que el ransomware simplemente descargó esos archivos en la carpeta de inicio, por lo que se abrirían al inicio. No había rastros de la aplicación de malware en sí. Aquí, nuevamente, el malware encriptó varios archivos antes de que la protección entrara en acción.

Ransomware simulado

La única forma totalmente confiable de probar la detección de ransomware basada en el comportamiento es mediante el uso de ransomware real. Cualquier simulación que duplicara completamente la actividad de una amenaza de cifrado de ransomware sería en sí misma malware. Sin embargo, esa no es razón para descartar por completo las pruebas con ransomware simulado.

KnowBe4, una compañía de capacitación en seguridad, ha lanzado una herramienta gratuita llamada RanSim, diseñada para probar su protección contra ransomware. Ejecuta módulos que implementan diez técnicas comunes de cifrado de ransomware, así como dos técnicas similares pero inofensivas. En teoría, el mejor producto bloqueará todas las técnicas de ransomware y dejará en paz las inofensivas.

Cuando probé la protección activa contra ransomware integrada en Acronis True Image 2017 New Generation, bloqueó todos menos uno de los ataques simulados. Por supuesto, una copia de seguridad completa, blindada contra cambios no autorizados, es una gran ayuda para recuperarse de un ataque de malware.

RansomFree no detectó ninguno de los ataques simulados. Sus diseñadores señalaron que los ataques simulados afectan solo a los archivos de varios niveles de carpeta debajo de la carpeta Documentos, en ningún otro lugar. Ningún ransomware del mundo real se comporta de esa manera.

En cuanto a Malwarebytes, se defendió activamente contra ocho de los 10 ataques simulados, pero falló dos. Debido a los problemas en el uso de ransomware simulado, lo considero una ventaja cuando un producto detecta los módulos de RanSim, pero trato un fallo de RanSim como poco informativo, no negativo.

Añadir a su arsenal

Malwarebytes Anti-Ransomware Beta funcionó bien en mis simples pruebas prácticas. Claro, algunos ransomware cifraron algunos archivos, pero sin protección, hubiera sido mucho, mucho peor. La protección contra ransomware es necesariamente una cuestión de capas. Lo que un componente se perdió, otro puede atrapar. He agregado Malwarebytes al arsenal de utilidades que protegen mi sistema de producción principal, junto con Norton Internet Security y Cybereason RansomFree.