Protection des fichiers de l\u2019utilisateur contre un ransomware connu<\/h2>\n
Le premier sc\u00e9nario de test envisage les attaques de ransomwares les plus courantes\u00a0: lorsque la victime ex\u00e9cute le malware sur l\u2019ordinateur et que celui-ci essaie d\u2019acc\u00e9der aux fichiers locaux. Un r\u00e9sultat positif signifie que la menace a \u00e9t\u00e9 neutralis\u00e9e (tous les fichiers du malware ont \u00e9t\u00e9 supprim\u00e9s, l\u2019ex\u00e9cution des processus a \u00e9t\u00e9 interrompue et les tentatives d\u2019implantation dans le syst\u00e8me ont \u00e9t\u00e9 d\u00e9jou\u00e9es), qu\u2019aucun des fichiers n\u2019a \u00e9t\u00e9 chiffr\u00e9 et qu\u2019ils sont tous accessibles. AV-Test a r\u00e9alis\u00e9 85 tests dans ce cadre et a utilis\u00e9 20 familles de ransomwares\u00a0: conti, darkside, fonix, limbozar, lockbit, makop, maze, medusa (ako), mountlocker, nefilim, netwalker (aka mailto), phobos, PYSA (aka mespinoza), Ragnar Locker, ransomexx (aka defray777), revil (aka Sodinokibi or Sodin), ryuk, snatch, stop et wastedlocker.<\/p>\n
Presque toutes les solutions de s\u00e9curit\u00e9 ont obtenu d\u2019excellents r\u00e9sultats. Ce n\u2019est pas vraiment surprenant puisque toutes ces familles de malwares sont tr\u00e8s connues. Les situations suivantes sont plus d\u00e9licates.<\/p>\n
Protection contre le chiffrement \u00e0 distance<\/h2>\n
Dans ce second sc\u00e9nario, le dispositif prot\u00e9g\u00e9 contient des fichiers accessibles depuis le r\u00e9seau local, et l\u2019attaque est lanc\u00e9e depuis un autre ordinateur connect\u00e9 au m\u00eame r\u00e9seau. Cet autre ordinateur n\u2019a pas de solution de s\u00e9curit\u00e9 et les cybercriminels sont libres d\u2019ex\u00e9cuter un malware, de chiffrer les fichiers locaux puis de chercher les informations accessibles dans les h\u00f4tes avoisinants. Les familles de malwares sont\u00a0: avaddon, conti, fonix, limbozar, lockbit, makop, maze, medusa (ako), nefilim, phobos, Ragnar Locker, Ransomexx (aka defray777), revil (aka Sodinokibi or Sodin) et ryuk.<\/p>\n
La solution de s\u00e9curit\u00e9, qui constate qu\u2019un processus du syst\u00e8me manipule les fichiers locaux mais est incapable de voir le lancement du malware, ne peut pas v\u00e9rifier la r\u00e9putation du processus malveillant ni du fichier \u00e0 l\u2019origine de cette action, et ne peut pas non plus analyser le fichier. Il s\u2019av\u00e8re que sur les 11 solutions, trois ont pu prot\u00e9ger le syst\u00e8me contre cette attaque et Kaspersky Endpoint Security Cloud est le seul produit l\u2019ayant g\u00e9r\u00e9e \u00e0 la perfection, De plus, m\u00eame si le produit de Sopho s\u2019est d\u00e9clench\u00e9 dans 93 % des cas, il n\u2019a enti\u00e8rement prot\u00e9g\u00e9 que 7 % des fichiers de l\u2019utilisateur.<\/p>\n
Protection contre les ransomwares de preuve de concept<\/h2>\n
Le troisi\u00e8me sc\u00e9nario montre comment les produits r\u00e9agissent face \u00e0 un malware qu\u2019ils n\u2019ont probablement pas rencontr\u00e9 par le pass\u00e9 et qui, en th\u00e9orie, n\u2019appara\u00eet dans aucune base de donn\u00e9es. Comme la s\u00e9curit\u00e9 ne peut identifier une menace inconnue que gr\u00e2ce aux technologies proactives qui r\u00e9agissent au comportement du malware, les chercheurs ont cr\u00e9\u00e9 14 nouveaux \u00e9chantillons de ransomwares avec des m\u00e9thodes et des technologies rarement utilis\u00e9es par les cybercriminels, ainsi que des techniques de chiffrement originales et in\u00e9dites. Tout comme dans le premier sc\u00e9nario, les chercheurs consid\u00e8rent que le r\u00e9sultat est concluant lorsque la menace est d\u00e9tect\u00e9e puis bloqu\u00e9e, lorsque l\u2019int\u00e9grit\u00e9 de tous les fichiers stock\u00e9s sur l\u2019ordinateur de la victime est maintenue et lorsque toutes les traces de la menace ont \u00e9t\u00e9 supprim\u00e9es.<\/p>\n
Les r\u00e9sultats varient. Certains produits (ESET et Webroot) ne d\u00e9tectent pas ce malware sur mesure alors que d\u2019autres obtiennent de meilleurs r\u00e9sultats (WatchGuard 86%, TrendMicro 64%, McAfee et Microsoft 50%). Kaspersky Endpoint Security Cloud est la seule solution ayant obtenu une performance de 100 %.<\/p>\n
R\u00e9sultats des tests<\/h2>\n
Pour conclure, la solution Kaspersky Endpoint Security Cloud a \u00e9t\u00e9 plus performante que toutes ses concurrentes dans tous les sc\u00e9narios cr\u00e9\u00e9s par AV-Test et prot\u00e8ge les utilisateurs contre les menaces connues d\u00e9j\u00e0 actives mais aussi contre celles r\u00e9cemment cr\u00e9\u00e9es.<\/p>\n
![\"R\u00e9sultats](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2021\/10\/06141427\/ransomware-protection-test-2021-results.jpg\")
R\u00e9sultats agr\u00e9g\u00e9s des trois sc\u00e9narios.<\/p><\/div>\n
D\u2019ailleurs, le second scenario a r\u00e9v\u00e9l\u00e9 un autre fait quelque peu inattendu\u00a0: la plupart des produits qui n\u2019ont pas r\u00e9ussi \u00e0 prot\u00e9ger les fichiers de l\u2019utilisateur ont tout de m\u00eame supprim\u00e9 les fichiers de la demande de ran\u00e7on. M\u00eame si l\u2019on ne tient pas compte de cet \u00e9chec, cette pratique n\u2019est pas correcte. Ces fichiers peuvent contenir des informations techniques qui pourraient permettre aux personnes qui enqu\u00eatent sur l\u2019incident de r\u00e9cup\u00e9rer des donn\u00e9es.<\/p>\n
Vous pouvez t\u00e9l\u00e9charger le rapport complet ainsi qu\u2019une description d\u00e9taill\u00e9e des malwares (connus ou cr\u00e9\u00e9s par les testeurs) utilis\u00e9s pour les tests apr\u00e8s avoir rempli le formulaire suivant.<\/p>\n