Indholdsfortegnelse:
- Konfiguration af CryptoPrevent
- Test af CryptoPrevent
- Beskyttelse af Honeypot
- Påtrængende og ineffektiv
Video: CryptoPrevent Premium (Oktober 2024)
Det er ingen hemmelighed, at ransomware er et stort problem, og produkter, der sigter mod at beskytte mod ransomware, bliver mere og mere populære. Mange sådanne værktøjer er splinternye svar på truslen, men CryptoPrevent Premium 8 fra Foolish IT har kæmpet mod ransomware siden 2013, da det satte syn på CryptoLocker. Ved testning viste det sig imidlertid langt mere kompliceret end konkurrerende ransomware-specifikke produkter og langt mindre effektiv.
Ligesom RansomFree og Malwarebytes Anti-Ransomware er CryptoPrevent ikke designet til at blive brugt i et vakuum. Tværtimod er poenget at bruge det sammen med din nuværende beskyttelse, til at udslette enhver løsepenge, der glider forbi din almindelige antivirus. Det giver perfekt mening. Det er altid muligt, at malware af enhver art midlertidigt kan undgå antivirusbeskyttelse, men til sidst udsletter en antivirusopdatering det. Selv hvis antivirus udsletter ransomware ex post facto, kan den imidlertid ikke dekryptere dine filer.
I 2013 dukkede CryptoLocker op som den første trussel mod stor nyhed om ransomware. Udviklerne på Foolish IT udtænkte oprindeligt CryptoPrevent for at bekæmpe den særlige cybertrussel, og jeg kan forestille mig, at det gjorde et godt stykke arbejde tilbage i dag. Ransomware udvikler sig dog fortsat, og CryptoLocker er selv faldet ved vejen. Som jeg vil forklare, viser testning, at CryptoPrevent ikke har holdt trit med denne udvikling.
Konfiguration af CryptoPrevent
Jeg startede med at installere produktets gratis udgave. Forskellen mellem dette værktøj og andre ransomware-specifikke værktøjer var umiddelbart tydelige. Hvor Cybereason RansomFree og Malwarebytes arbejder i baggrunden, med et minimum af brugerinteraktion, sport CryptoPrevents hovedvindue syv faner, der hver sprænger af indstillinger. Den vigtigste af disse er hovedfanen, mærket Apply Protection, som giver dig mulighed for at vælge en beskyttelsesplan.
Ved første lancering er beskyttelsesplanen indstillet til Ingen, hvilket betyder, at programmet er inaktivt. På minimalt niveau lover det at blokere CryptoLocker og muligvis anden malware, men ikke nyere trusler. Når den er indstillet til Standard, tilbyder den beskyttelse mod en række malware-trusler, men stadig ikke nødvendigvis den nyeste ransomware. På Maksimumsniveau, det højeste tilgængelige i den gratis udgave, advarer det om, at du bliver nødt til at deaktivere beskyttelsen, når du installerer eller afinstallerer software; det giver ikke specifikke løfter om ransomware.
Klik på fanen Beskyttelsesindstillinger afslører et vindue med fem underfaner, hvoraf nogle har deres egne underfaner. Ja, det er meget anderledes end konkurrencen. Fanen Software Restriction Policies forhindrer programlanceringer fra specifikke systemområder, der normalt ikke indeholder eksekverbare filer, såsom midlertidige mapper. Bemærk, at softwarebegrænsningspolitikker er en Windows-funktion, der administreres af CryptoPrevent.
Da jeg så fanen FolderWatch, antog jeg først, at CryptoPrevent ville forhindre uautoriserede programmer i at ændre filer i de beskyttede mapper, der inkluderer mapperne Desktop og Documents. Panda Internet Security og IObit forhindrer al adgang, endda skrivebeskyttet adgang, i beskyttede mapper. Som min kontakt hos virksomheden forklarede, er det ikke sådan, CryptoPrevent ruller. Snarere scanner den enhver fil, der er faldet i disse områder, og karantæner dem, den genkender som malware.
Når du vælger og anvender en beskyttelsesplan, tilbyder CryptoPrevent at hvidliste eksisterende programmer i de beskyttede områder. Det giver mening; Ellers finder du det blokerer for legitime programmer.
Betaling af $ 15-abonnementet gør endnu en beskyttelsesplan tilgængelig, kaldet Extreme. Som med maksimalniveauet anbefaler programmet at slukke beskyttelsen for at installere eller afinstallere programmer, og bemærker yderligere, at det kan forstyrre legitim software. På ekstrem niveau bliver Quick Launch-meddelelsesikonet med sin massive menu tilgængeligt. Du får ikke de samme underretninger i den gratis udgave.
På ekstremniveau bliver funktionen FolderWatch HoneyPot også tilgængelig. Denne betafunktion udfylder typiske ransomware-angrebsplaceringer med agnfiler. Mere om honeypot senere.
Test af CryptoPrevent
Som bemærket startede jeg med at installere den gratis udgave. Før jeg indså, at FolderWatch ikke havde til formål at forhindre filadgang af uautoriserede programmer, testede jeg det med en lille teksteditor og en simpel filkrypterer. Jeg skrev disse selv, så de er bestemt ikke på nogen godkendt programliste. CryptoPrevent reagerede naturligvis ikke; det er ikke, hvad det er beregnet til at gøre.
Dernæst isolerede jeg omhyggeligt den virtuelle maskine fra netværket og frigav et halvt dusin ransomware-prøver i den virkelige verden, én ad gangen. For en prøve rapporterede en Windows-fejlmeddelelse "Din systemadministrator har blokeret dette program." Da jeg afviste meddelelsen, forsøgte ransomware imidlertid at starte igen, og meddelelsen dukkede op igen og igen ad nauseam, indtil jeg sluttede den virtuelle maskinsession og gik tilbage til en ren tilstand.
En anden prøve kunne simpelthen ikke fungere uden besked eller anmeldelse. Men resten af prøverne ejede testsystemet fuldstændigt, krypterede filer og viste truende meddelelser, der krævede løsepenge for at få dem tilbage. Den gratis udgave tilbyder naturligvis ikke meget beskyttelse. Konfronteret med de samme prøver stoppede Malwarebytes dem alle, og Ransomfree stoppede alle undtagen én. Den ransomware-specifikke beskyttelse i Acronis True Image 2017 New Generation stoppede også alle undtagen én.
Jeg opgraderede til Premium-udgaven, valgte Ekstrem beskyttelse og kørte disse test igen. Resultaterne var de samme med en mindre forskel. Da jeg prøvede ransomware-prøven, der på mystisk vis mislykkedes under den gratis udgave's beskyttelse, fik jeg en popup-anmeldelse, der rapporterede, at systembegrænsningspolitikker blokerede det. Ligeledes genererede prøven, der kom ind i en løkke med CryptoPrevent, nu en popup-anmeldelse hver gang.
Jeg bruger KnowBe4s RanSim ransomware-simulator til test også, men jeg tager resultaterne med et saltkorn. Nogle virksomheder hævder, at dens simulerede ransomware ikke ligner nok til faktisk ransomware, så deres adfærdsbaserede detektionssystemer ignorerer det. Ransomfree, for eksempel, registrerer ikke nogen af simuleringerne; Jeg behandler det ikke som et negativt. Men Malwarebytes Anti-Ransomware Beta opdagede otte af de 10, og Acronis blokerede aktivt ni af de 10 simuleringer. Hvad angår CryptoPrevent, reagerede det overhovedet ikke på den simulerede ransomware.
Beskyttelse af Honeypot
Malware-forskere bruger ofte honepunkter - internt tilsluttede computere uden sikkerhedsbeskyttelse - til at fange malware-prøver. CryptoPrevents honeypotsystem sætter snesevis af "agn" -filer på populære placeringer, såsom Desktop og Documents-mapperne. Da jeg aktiverede denne funktion, modtog jeg en stærk advarsel om, at jeg også skal aktivere Quick Access-meddelelsesikonet, og at hvis jeg ikke gjorde det, ville CryptoPrevent lukke systemet uden advarsel om at finde ransomware. Jeg havde allerede aktiveret denne funktion, så jeg var ikke bekymret.
Den første ting, jeg bemærkede ved aktivering af honeypot, var, at mit skrivebord absolut blev fyldt ud og fyldt med ikoner. CryptoPrevent føjede omkring 80 filer til skrivebordet, mappen Dokumenter og andre områder. (Ja, jeg har Windows indstillet til at vise skjulte filer; gør du ikke?) Jeg var overhovedet ikke tilfreds med programmet, der brugte mit skrivebord, men fortsatte med at teste.
Resultaterne var ikke opmuntrende. En prøve fortsatte uden indblanding, krypterede alle agnfiler og andre filer og viste defiivt løsepenge. I to tilfælde opdagede CryptoPrevent ransomware-aktivitet. Det rådede straks at lukke systemet og søge eksperthjælp til at håndtere angrebene. Men i et af disse to tilfælde fandt jeg, at ransomware havde krypteret alle (eller næsten alle) sårbare filer før detektion. I modsætning hertil lukkede Ransomfree, Malwarebytes og Acronis alle ransomware-aktiviteterne, før det kunne gøre meget skade. I nogle tilfælde er et par filer afviklet krypteret, men bare et par få.
Påtrængende og ineffektiv
Jeg anbefaler kraftigt at supplere din almindelige antivirus med et værktøj, der specifikt er bestemt til at opdage ransomware, som antiviruset kan gå glip af. Men jeg anbefaler ikke CryptoPrevent Premium 8 til det formål. Som dens egne instruktioner indrømmer, kan det forstyrre normal programdrift, og dets højere beskyttelsesniveauer skal være slukket, hvis du vil installere eller afinstallere programmer. Når jeg testede, har honeypot-funktionen papirkurven mit skrivebord med flere ikoner end endda ville passe. Og selv på det højeste beskyttelsesniveau forhindrede det ikke kryptering af nogle ransomware-prøver i den virkelige verden.
Min kontakt hos Foolish IT påpeger, at dette produkt sigter mod at arbejde sammen med eksisterende antivirus, ikke alene. Og virksomheden anbefaler kraftigt at opbevare en fuldstændig og ajourført backup som den bedste beskyttelse. Alligevel gør konkurrerende produkter påviseligt det job, som CryptoPrevent ikke gør.
Hvis du vil supplere din antivirus med ransomware-beskyttelse, vil du have noget, der er så beskedent som muligt - og det gør det påtænkte job. Cybereason RansomFree og Malwarebytes Anti-Ransomware Beta passer begge til profilen, og de er gratis. Faktisk kører jeg begge på min egen hovedcomputer og supplerer min vigtigste antivirusbeskyttelse.