Obsah:
Video: CryptoPrevent Premium (Október 2024)
Nie je žiadnym tajomstvom, že ransomware je veľký problém, a produkty, ktoré sa zameriavajú na ochranu proti ransomware, sa stávajú čoraz obľúbenejšími. Mnoho takýchto nástrojov je úplne novou reakciou na hrozbu, ale CryptoPrevent Premium 8 od Foolish IT bojuje s ransomware od roku 2013, keď sa zameriava na CryptoLocker. Pri testovaní sa však ukázalo, že je oveľa zložitejšie ako konkurenčné produkty špecifické pre ransomware a je oveľa menej účinné.
Rovnako ako RansomFree a Malwarebytes Anti-Ransomware, CryptoPrevent nie je navrhnutý na použitie vo vákuu. Ide skôr o to, aby ste ho použili spolu s existujúcou ochranou, aby ste vymazali akýkoľvek ransomware, ktorý prekĺzne z vášho bežného antivírusu. To dáva zmysel. Vždy je možné, že malware akéhokoľvek druhu môže dočasne uniknúť antivírusovej ochrane, ale antivírová aktualizácia ho nakoniec vymaže. Aj keď však antivírus vymaže ransomware ex post facto, nemôže vaše súbory dešifrovať.
V roku 2013 sa CryptoLocker objavil ako prvá veľká spravodajská hrozba pre ransomware. Vývojári v spoločnosti Foolish IT pôvodne vymysleli CryptoPrevent, aby bojovali proti tejto konkrétnej počítačovej hrozbe, a ja si myslím, že to odviedlo dobrú prácu, späť v deň. Ransomware sa však stále vyvíja a samotný CryptoLocker klesol. Ako vysvetlím, testovanie naznačuje, že CryptoPrevent s týmto vývojom nevedel krok.
Konfigurácia CryptoPrevent
Začal som inštaláciou bezplatnej edície produktu. Rozdiel medzi týmto nástrojom a inými nástrojmi špecifickými pre ransomware bol okamžite zrejmý. Tam, kde Cybereason RansomFree a Malwarebytes pracujú na pozadí, s minimom interakcie používateľa, má hlavné okno CryptoPrevent sedem kariet, z ktorých každá obsahuje nastavenia. Najdôležitejšia z nich je hlavná karta s názvom Použiť ochranu, ktorá vám umožňuje zvoliť si plán ochrany.
Pri prvom spustení je plán ochrany nastavený na hodnotu Žiadne, čo znamená, že program je neaktívny. Na minimálnej úrovni sľubuje blokovanie šifrovania CryptoLocker a prípadne iného škodlivého softvéru, nie však novších hrozieb. Ak je nastavená na Predvolená, ponúka ochranu pred celým radom hrozieb škodlivého softvéru, ale stále nemusí nevyhnutne obsahovať najnovší ransomware. Na maximálnej úrovni, najvyššej dostupnej v bezplatnej edícii, upozorňuje, že pri inštalácii alebo odinštalovaní softvéru budete musieť vypnúť ochranu; nedáva konkrétne sľuby o ransomware.
Kliknutím na kartu Nastavenia ochrany sa zobrazí okno s piatimi čiastkovými tabuľkami, z ktorých niektoré majú svoje vlastné čiastkové tabuľky. Áno, veľmi sa líši od konkurencie. Karta Zásady obmedzenia softvéru zabraňuje spusteniu programu z konkrétnych systémových oblastí, ktoré zvyčajne neobsahujú spustiteľné súbory, napríklad dočasné priečinky. Upozorňujeme, že zásady obmedzenia softvéru sú funkciou Windows a sú spravované programom CryptoPrevent.
Keď som videl kartu FolderWatch, najskôr som predpokladal, že program CryptoPrevent zabráni neoprávneným programom v zmene súborov v chránených priečinkoch, medzi ktoré patria priečinky Desktop a Documents. Panda Internet Security a IObit zabraňujú všetkým prístupom, dokonca aj prístupom len na čítanie, v chránených priečinkoch. Ako mi vysvetlil môj kontakt v spoločnosti, tak sa CryptoPrevent nevráti. Skôr skúma akýkoľvek súbor, ktorý sa dostal do týchto oblastí, a karantény tie, ktoré rozpozná ako škodlivý softvér.
Ak vyberiete a použijete plán ochrany, program CryptoPrevent ponúka na bielu listinu zoznam existujúcich programov v chránených oblastiach. To dáva zmysel; inak by ste zistili, že blokuje legitímne programy.
Zaplatením predplatného 15 dolárov získate ďalší plán ochrany nazvaný Extreme. Rovnako ako v prípade maximálnej úrovne program odporúča vypnúť ochranu pri inštalácii alebo odinštalovaní programov a ďalej poznamenáva, že môže narušiť legitímny softvér. Na extrémnej úrovni je k dispozícii ikona upozornenia Rýchle spustenie s rozsiahlou ponukou. V bezplatnej edícii nemáte rovnaké upozornenia.
Na extrémnej úrovni je k dispozícii aj funkcia FolderWatch HoneyPot. Táto funkcia beta zaplní typické miesta útoku pomocou ransomware pomocou návnadových súborov. Viac o včelárovi neskôr.
Testovanie CryptoPrevent
Ako už bolo uvedené, začal som inštaláciou bezplatnej edície. Než som si uvedomil, že FolderWatch nemá za cieľ zabrániť prístupu k súborom neautorizovanými programami, testoval som ho pomocou malého textového editora a jednoduchého šifrovača súborov. Napísal som ich sám, takže určite nie sú na zozname schválených programov. Prirodzene, CryptoPrevent nereagoval; to nie je to, čo sa má robiť.
Ďalej som starostlivo izoloval virtuálny počítač zo siete a postupne som vydal niekoľko desiatok vzoriek ransomware v reálnom svete. V prípade jednej vzorky sa v systéme Windows zobrazilo chybové hlásenie „Správca systému tento program zablokoval.“ Keď som však správu zamietol, ransomware sa pokúsil spustiť znova a správa sa znova a znova objavovala ad nauseam, až kým som neskončil reláciu virtuálneho počítača a vrátil sa do čistého stavu.
Ďalšia vzorka jednoducho nefungovala bez správy alebo oznámenia. Ostatné vzorky však úplne vlastnili testovací systém, šifrovali súbory a zobrazovali hroziace správy vyžadujúce výkupné, aby ich dostali späť. Je zrejmé, že toto bezplatné vydanie neposkytuje veľkú ochranu. Malwarebytes, konfrontovaný s rovnakými vzorkami, ich zastavil všetky a Ransomfree zastavil všetky okrem jedného. Ochrana špecifická pre ransomware v aplikácii Acronis True Image 2017 novej generácie tiež zastavila všetky okrem jednej.
Inovoval som na edíciu Premium, vybral som Extrémnu ochranu a tieto testy som znova spustil. Výsledky boli rovnaké, s jedným malým rozdielom. Keď som vyskúšal vzorku ransomware, ktorá záhadne zlyhala pod ochranou bezplatnej edície, dostal som kontextové hlásenie s hlásením, že blokovanie politiky systému obmedzovania. Podobne vzorka, ktorá sa dostala do slučky s CryptoPrevent, teraz vygenerovala kontextové oznámenie zakaždým okolo.
Na testovanie používam tiež simulátor ranSim RanSim KnowBe4, ale jeho výsledky beriem so zrnom soli. Niektoré spoločnosti tvrdia, že jeho simulovaný ransomware nie je dosť podobný skutočnému ransomwaru, takže ich systémy detekcie správania ho ignorujú. Napríklad Ransomfree nezistí žiadnu simuláciu; Nerobím to negatívne. Malwarebytes Anti-Ransomware Beta však zistil osem z 10 a Acronis aktívne zablokoval deväť z 10 simulácií. Pokiaľ ide o CryptoPrevent, vôbec nereagoval na simulovaný ransomware.
Ochrana včiel medonosných
Vedci škodlivého softvéru často používajú na zachytenie vzoriek škodlivého softvéru honeypoty - počítače pripojené na internet bez bezpečnostnej ochrany. Honeypot systém CryptoPrevent umiestňuje desiatky súborov „návnady“ na obľúbené miesta, napríklad do priečinkov Desktop a Documents. Keď som povolil túto funkciu, dostal som silné varovanie, že musím povoliť aj ikonu upozornenia Rýchly prístup, a ak by som to neurobil, CryptoPrevent by vypol systém bez varovania pred detekciou ransomware. Túto funkciu som už povolil, takže som nemal žiadne starosti.
Prvá vec, ktorú som si všimol pri povolení honeypot, bolo to, že moja pracovná plocha sa úplne naplnila a pretekala ikonami. CryptoPrevent pridal na plochu, priečinok Dokumenty a ďalšie oblasti okolo 80 súborov. (Áno, mám systém Windows nastavený na zobrazenie skrytých súborov; nie?) Nebol som vôbec spokojný s programom, ktorý si uzurpoval moju plochu, ale pokračoval som v testovaní.
Výsledky neboli povzbudivé. Jedna vzorka postupovala bez rušenia, šifrovala všetky návnadové súbory a ďalšie súbory a vzdorne zobrazovala svoju výkupnú poznámku. V dvoch prípadoch CryptoPrevent zistil aktivitu ransomware. Odporučil okamžite vypnúť systém a vyhľadať odbornú pomoc pri riešení zamorenia. Ale v jednom z týchto dvoch prípadov som zistil, že ransomware pred detekciou šifroval všetky (alebo takmer všetky) zraniteľné súbory. Naopak, Ransomfree, Malwarebytes a Acronis ukončili aktivitu ransomware skôr, ako by mohla značne poškodiť. V niektorých prípadoch je niekoľko súborov šifrovaných, ale iba niekoľko.
Rušivé a neúčinné
Dôrazne odporúčame doplniť bežný antivírus o pomôcku osobitne zameranú na detekciu ransomwaru, ktorý by antivírusom mohol chýbať. Na tento účel však neodporúčam aplikáciu CryptoPrevent Premium 8. Ako pripúšťajú jeho vlastné pokyny, môže narušiť normálnu činnosť programu a ak chcete inštalovať alebo odinštalovať programy, musíte vypnúť vyššiu úroveň ochrany. Pri testovaní jeho funkcia honeypot rozbila moju plochu s viacerými ikonami, ako by sa vôbec zmestili. A to ani pri najvyššej úrovni ochrany nezabránilo šifrovaniu niektorými vzorkami ransomware v reálnom svete.
Môj kontakt na Foolish IT poukazuje na to, že cieľom tohto produktu je pracovať spolu s existujúcim antivírusom, nie sám o sebe. Spoločnosť dôrazne odporúča zachovať úplnú a aktuálnu zálohu ako najlepšiu ochranu. Napriek tomu konkurenčné produkty preukázateľne vykonávajú prácu, ktorú CryptoPrevent nemá.
Ak chcete antivírusový program doplniť o ochranu proti ransomvéru, chcete niečo čo najviac nenápadné - a to robí zamýšľanú prácu. Profil Cybereason RansomFree a Malwarebytes Anti-Ransomware Beta zapadajú do profilu a sú zadarmo. V skutočnosti bežím na vlastnom hlavnom počítači a dopĺňam svoju hlavnú antivírusovú ochranu.
