Emsisoft + G Data Keyboard Guard + Bitdefender Antiransomware sinnvoll, Wirklich drei Programme zum umfassenden Schutz nötig? Einstellungen

[a.borque]

Hallo!
Eigentlich nutze ich schon länger Emsisoft Anti-Malware und bin bislang immer gut gefahren.
In den letzten beiden Jahren sind nur die Gefahren durch manipulierte USB-Sticks, die dann Tastatureingaben mulieren und die aktuelle Plage durch Ransomware dazu gekommen, von welchen ich nicht sicher bin, ob EAM dagegen ausreichend schützt.
Deshalb hatte ich zunächst zusätzlich zu EAM noch den G Data Keyboard-Guard installiert. Bevor ich jetzt noch als weiteren Zusatz ein spezialisiertes Anti-Ransomware-Tool (z.B. Bitdefender oder Malwarebytes) installiere, meine Frage ob eine oder beide Funktionen nicht mittlerweile in EAM integriert sind und die Programme überflüssig sind?!
Danke und Grüße
A.Borque

[Gast_Oldie_*]

Die Frage solltest du wohl besser im Emsisoft-Forum stellen.
http://support.emsisoft.com/forum/51-germa...tscher-support/

[Kaeras]

Da würde ich eher zu einer Kombination EAM + HMP.A (HitmanPro Alert - http://www.surfright.nl/en/alert ) raten, HMP.A deckt wesentlich mehr und besser ab (kostet allerdings etwas) und beide Produkte ergänzen sich extrem gut. Nutze die Kombi auch auf mehreren PCs völlig problemlos.

Bei "BDAntiRansomeware" wird meines wissens dem System eh nur quasi "vorgegaukelt", dass es bereits "verschlüsselt" und "befallen" wäre und somit eine erneute Verschlüsselung einer Malware "nicht mehr nötig" ist. Quasi ein ziemlich "plumper" Weg, ist nur die Frage wie schnell die Malware-Coder das nun auch schon "erkennen". Solution-Design hat das hier ja schon erläutert im "BDAntiRansomeware"-Thread: http://www.rokop-security.de/index.php?sho...st&p=397825. Da spielt "HitmanPro Alert" schon in einer ganz anderen Schutz-Liga.

Der Verhaltensschutz von EAM ist allerdings auch so schon ziemlich gut. Im Falle von Locky zB gab es allerdings auch wenn man nur EAM genutzt hätte laut Emsisoft keine Gefahr:

Schützt EIS/EAM vor "Locky" und Co. ?

Fabian Wosar hat geschrieben:
Locky war zu keinem Zeitpunkt eine Gefahr fuer unsere Nutzer. Email Anhaenge scannen wir generell nicht. Ist allerdings auch nicht wirklich notwendig, da Email Anhaenge erst auf der Festplatte gespeichert werden muessen um ausgefuehrt zu werden, was der File Guard ueberwacht.

Quelle: http://support.emsisoft.com/topic/19779-sc...r-locky-und-co/

Laut Virustotal hätte Emsisoft den Virus in einer Datei nicht identifiziert. ... Können Sie eine Aussage zur Verhaltensanalyse machen?

Fabian Wosar hat geschrieben:
Ob wir alle Locky Samples via Signatur erkennen ist letztlich egal. Meine Aussage bezog sich auf den Verhaltensschutz. Alle bisher gesichteten Locky Varianten werden problemlos vom Verhaltensschutz erkannt und in die Quarantaene verfrachtet.

Quelle: http://support.emsisoft.com/topic/19779-sc...co/#entry146593

Locky soll nun auch mit JS-Dateien experimentieren, somit 0% Virenerkennung. Wie kann EAM hier helfen/schützen?

Fabian Wosar hat geschrieben:
Mit grosser Wahrscheinlichkeit, wird der JavaScript Dropper bereits als Malware erkannt von der Verhaltensanalyse. Aber selbst wenn nicht, ist die Malware die der JavaScript Downloader herunterlaedt immer noch die selbe und wird von der Verhaltensanalyse erkannt.

Die Verhaltenserkennung funktioniert problemlos. Und ja, das ist auch getestet. Zum Beispiel hier eine Locky Mail die ca. 2 Stunden alt ist:

http://imgur.com/a/0KMQQ

Im Endeffekt, egal wie Locky auf das System gelangt, ist es immer das selbe. Wir bemerken eine Anwendung die nach Hause funkt und danach versucht lauter Dokumente neu zu schreiben. In fast allen Faellen bekommt man die Meldung aber gar nicht zu gesicht, weil EAM direkt die Datei in Quarantäne nimmt. Zumindest dann, wenn man die Cloud Anbindung aktiviert hat.

Quelle: http://support.emsisoft.com/topic/19779-sc...co/#entry146637
Quelle: http://support.emsisoft.com/topic/19779-sc...co/#entry146795

Der Beitrag wurde von Kaeras bearbeitet: 04.07.2016, 13:20

[Nintec]

Hallo,

ich habe beim Stöbern im Internet das hier gefunden. Eine Software, die Ransomware von Anfang an blockieren soll.

https://www.anti-ransom.de/

Sieht auf dem ersten Blick ganz gut aus. In Verbindung mit einem Virenscanner bestimmt Wirkungsvoll, da es auf einer anderen Ebene ansetzt.

Der Beitrag wurde von Nintec bearbeitet: 04.07.2016, 15:15

[Deluxe]

Hallo,

ich habe beim Stöbern im Internet das hier gefunden. Eine Software, die Ransomware von Anfang an blockieren soll.

https://www.anti-ransom.de/

Sieht auf dem ersten Blick ganz gut aus. In Verbindung mit einem Virenscanner bestimmt Wirkungsvoll, da es auf einer anderen Ebene ansetzt.

Kenne das Tool - ist von Krämer IT aus dem Saarland, die seit Jahren Partner von G Data sind.
Eine seriöse Firma, der man vertrauen kann.

Das Tool macht auch einen guten Eindruck.

[Enthusiast]

Die Herkunft eines Produkts ist keine Garantie dafür, dass es auch gut ist . G Data ist das beste Beispiel dafür.

[Krond]

Kenne das Tool - ist von Krämer IT aus dem Saarland, die seit Jahren Partner von G Data sind.
Eine seriöse Firma, der man vertrauen kann.

Das Tool macht auch einen guten Eindruck.

Der erste Eindruck mag täuschen, aber für einen Sicherheitssoftware-Hersteller mehr als schwach.....

[Tante Edit]: Der zweite Eindruck....naja durchwachsen.... Ein Programm, welches eigentlich ein AntiExecutable ist, als AntiRansomware hinzustellen, da kann man schon geteilter Meinung sein. Aber wahrscheinlich muss das der Hersteller, da ansonsten Vergleiche mit NVT gezogen werden.

Mag ja sein, dass dadurch Ransomware gestoppt wird, leider auch sehr viele andere Prozesse auch und man muss sich mühsam mit wilder Klickerei eine Whitelist selbst zusammenstellen, da ansonsten nichts vernünftig läuft...Ist auch nicht sehr Bedienerfreundlich aufgebaut. Es kommt eine Meldung, dass der Systemadministrator eine Ausführung eines Programmes nicht erlauft hätte (Hallo? Admin bin ich, nicht das Programm). Dann muss man die blockierte Anwendung suchen, mit Rechtsklick permanent freischalten und danach nochmals zusätzlich auf einen Button übernehmen klicken.

Noch dazu funktioniert es nicht immer, wie man unter Win10 am Beispiel "dismhost", welcher temporär gestartet wird, sieht. Da kommt beim Freischalten eine Fehlermeldung, dass er den Pfad gar nicht mehr findet (eh klar), also IMHO keine Möglichkeit, dieses Programm, welches ein Systemprozess ist, jemals freizuschalten?

Für mich fällt dieses Programm unter "Dinge, die die Menschheit nicht braucht". Da kann der Hersteller noch so vertrauenswürdig sein.

Der Beitrag wurde von Krond bearbeitet: 05.07.2016, 11:00

Angehängte Datei(en)

 anti_ransom.jpg ( 27.13KB ) Anzahl der Downloads: 30

 

[Ford Prefect]

Dürfte daran liegen, dass nur die sha1-Signatur vorliegt und das Mark of Web-Attribut gesetzt ist. Binaries, die nach dem 1.1.2016 erstellt wurden, sollten auch über ne sha-256-Signatur verfügen.

[Gast_J4U_*]

Ein Programm, welches eigentlich ein AntiExecutable ist, als AntiRansomware hinzustellen, da kann man schon geteilter Meinung sein. Aber wahrscheinlich muss das der Hersteller,

Der Anbieter sagt:

Die Funktion von ANTI RANSOM

Nach der Aktivierung von REDDOXX ANTI RANSOM werden über standardisierte Microsoft Funktionen Einstellungen in der Registry vorgenommen. Es werden somit alle Dateiausführungen auf dem PC verhindert, die nicht auf der Basis regulär installierter Programme erfolgen. REDDOXX ANTI RANSOM bietet nach einer Sicherheitsabfrage jedoch die Möglichkeit, alternative Programme zu starten bzw. auch dauerhaft für die Ausführung freizuschalten. Da im Falle von Ransomware die eigentliche Schadsoftware in den meisten Fällen temporär nachgeladen wird, kann die Ausführung somit verhindert und ein Schaden vermieden werden.

Gleichzeitig sagt er auch:

Allgemeine Hinweise

Anti-Ransom ersetzt keinen normalen Virenscanner und keine Firewall. Anti-Ransom ist nur eine Erweiterung für bestehende Anti-Viren Produkte und genutzte Firewalls um den Schutz nochmals zu erhöhen.
Bitte bedenken sie auch die grundsätzlichen Sicherheitsmechanismen und Einstellungen:

1. Verwenden Sie immer ein sicheres Passwort
2. Keine lokalen Adminrechte für den Benutzer
3. Eine aktivierte UAC auf dem lokalen Rechner
4. Gesunder Menschenverstand beim Öffnen von E-Mails und Anlagen sowie Webseiten

Ich denke, es gibt Einsatzgebiete für dieses Tool. Der heimische DAU-Rechner gehört da aber sicher nicht dazu, außer er wird ordentlich administriert.

[Krond]

Ja, die Beschreibung habe ich gelesen, somit war mir vorher schon relativ klar, wie das Programm funktioniert, eben als AntiExecutable.

Aber was immer die als "Basis regulär installierter Programme" annehmen. Somit habe ich mit dem Beispiel dismhost ein irreguläres Programm? Ist Standard-Windows, nix selbst installiert.

Und wie gesagt, die (um die eigenen Worte zu nehmen) "irreguläre" Meldung, dass der Administrator etwas auf meinem Rechner verboten hätte.....

Einerseits wendet sich das Programm anscheinend, wie du, J4U, erwähntest, nicht an DAU´s, aber andererseits werden genau jene Meldungen ausgegeben, die ein DAU-Herz höher schlagen lassen. Genau wie die "allgemeinen Hinweise", die sich doch auch an diese Benutzergruppe wenden.

Wie jetzt? Genau darum meinte ich "durchwachsen", nichts Halbes, nichts Ganzes....