ファイナルランサムディフェンダーの仕組み

ファイナルランサムディフェンダーはどのように、ランサムウェアからデータを守るのか。その仕組みを簡単に紹介しよう。ランサムディフェンダーでは、4ステップのマルチ防御システムを採用する。

  • 第一防御:マルウェア検査
  • 第二防御:おとりファイル検出
  • 第三防御:ふるまい検知
  • 第四防御:フォルダ保護

マルウェア検査は、従来のセキュリティ対策ソフトのスキャンと同じものだ(スキャンデータベースには、Bitdefenderが使われる)。

図6 クイックスキャン

もし、マルウェアなどが検出されると、スキャンログに記録される。

図7 スキャンログ

ここで検知されたファイルは、検出テスト用のEICARファイルである(実体はテキストファイルで、拡張子をCOMに変更する)。危険なファイルではないので、安心してほしい。

第二防御のおとりファイル検知が、特徴的な機能といえる。ランサムウェアが攻撃を行う場所におとりファイルを作成しておく。そのファイルが暗号化されるなどの変更を検出すると、ランサムウェアと判定する。

図8 不正なファイルの動作を検出

もし、暗号化された場合、自動バックアップされたファイルから自動復元を行う。

第3防御のふるまい検知は、フォルダリストの照会やファイルの変更動作を一定回数以上繰り返すプロセスを検出する。第4防御のフォルダ保護は、インストール時に解説した通りである。メイン画面から[設定]をクリックすると、変更可能である。

図9 設定画面

[保護フォルダの指定]で設定を選ぶと、図4で設定したフォルダが表示される。

図10 保護フォルダ

保護フォルダのファイルに変更を行うと、以下のようなメッセージが表示される。

図11 保護フォルダへのアクセスを検出

また[許可プログラムの設定]では、保護フォルダへの変更を許可するプログラムを設定する。

図12 許可プログラムの設定

実際には[実行リストから追加]から選ぶとわかりやすいであろう。

図13 実行リストからの追加

これらの組み合わせでランサムウェアの暗号化から、データを守る。