Gjennomgang og vurdering av Cryptodrop anti-ransomware

De skumle koderne som lager malware er i det for pengene, på en eller annen måte. Bitcoin-gruvearbeidere kaprer CPU- og GPU-syklusene for å berike skaperne sine i hemmelighet. Trojanere later til å være nyttige programmer, men stjeler kredittkortdataene dine i all hemmelighet. Ransomware er den mest direkte gripen for pengene. Den krypterer viktige filer, gjør dem ubrukelige for deg, og krever at du betaler løsepenger for dekrypteringsnøkkelen. Hvis ransomware glir forbi antiviruset ditt, har du problemer. Derfor er det fornuftig å supplere det vanlige antiviruset ditt med et ransomware-spesifikt verktøy som CryptoDrop Anti-Ransomware. Dette verktøyet oppdager både ransomware basert på atferden og gjenoppretter filer som er kryptert før deteksjon. Det klarer seg bra når man tester, med noen små bobler.

For $ 29.99 per år kan du installere CryptoDrop på tre PCer. For en enkelt PC kan du velge å betale $ 2, 99 per måned eller $ 19, 99 per år. Det er også en gratis utgave, men beskyttelsen dekker bare Dokumenter-mappen, og den mangler gjenopprettingsalternativet. Merk at Acronis Ransomware Protection, RansomFree, Malwarebytes og Trend Micro tilbyr atferdsbasert deteksjon uten kostnad; Trend Micro og Acronis inkluderer også filgjenoppretting.

Oppstart og innstillinger

Som med mange lignende produkter, må du starte på nytt etter den raske, enkle installasjonen. Produktet installeres i fri modus til å begynne med. Du kan klikke på en kobling for å kjøpe hele produktet, eller aktivere ved å bruke CryptoDrop-kontoen og en lisensnøkkel. Når du har installert og aktivert produktet, viser statusindikatorene for Detection and Recovery begge en grønn sirkel.

Jeg ble litt utsatt for en merkelig oppførsel knyttet til disse indikatorene. Hver gang jeg åpnet hovedvinduet, viste indikatorene opprinnelig og synlig en advarselsrød. Etter et sekund endret de seg til grønt. Det er ingen skade i det, men det føles slurvete.

Når du klikker på Alternativer-knappen, får du en liste over beskyttede steder. Opprinnelig inkluderer disse mappene Dokumenter, Musikk, Bilder og Video for hver brukerkonto, inkludert Alle brukere og Offentlige. En kjent (men ufarlig) feil i den nåværende utgaven har Bilder-mappen som vises to ganger. Jeg anbefaler på det sterkeste å legge til Desktop-mappen for hver konto, og enhver annen personlig mappe som du bruker til personlige filer.

CryptoDrop håndterer gjenoppretting av filer ved å oppbevare kopier av filer fra de beskyttede mappene i en egen herdet mappe. Men hvis du ser på denne DropSafe-mappen, vil du ikke se noe - og heller ikke noe løseprogramvare som kan være til stede. Ved å bruke teknologi som ligner på et rootkit, gjør CryptoDrop sikkerhetskopifilene usynlige for apper og operativsystem.

Som standard reserverer CryptoDrop 2 GB for DropSafe. Hvis plassen begynner å fylles, får du en advarsel og et alternativ for å øke størrelsen. Check Point ZoneAlarm Anti-Ransomware, Trend Micro og Acronis gir atferdsbasert ransomware gjenkjenning og filgjenoppretting som ikke er begrenset til et spesifikt sett med mapper.

Ransomware Detection

For en rask tilregnelighetskontroll kjørte jeg et enkelt sinnet falske ransomware-program som jeg kodet selv. Alt i alt finner den alle tekstfilene i Dokumenter-mappen og krypterer dem reversibelt ved å vende alle bitene i hver byte, nuller til en, til nuller.

Til å begynne med så det ut til at CryptoDrop ikke fungerte. Når jeg så nærmere på, skjønte jeg at jeg bare hadde to tekstfiler i mappen Dokumenter. CryptoDrop oppdager "bulk file modification", og kryptering av bare to filer ble ikke registrert som bulk modification. Da jeg prøvde igjen med to dusin tekstfiler, plukket CryptoDrop opp aktiviteten, stoppet programmet og gikk inn i Lockdown-modus, noe som gjorde at alle filene ble midlertidig skrivebeskyttet. Det opprettet også en regel som alltid blokkerer testprogrammet.

Med den enkle testen ut av veien, dobbeltsjekket jeg den virtuelle maskintestesystemets isolasjon fra det fysiske nettverket og begynte å lansere ransomware-prøver fra den virkelige verden. I alle tilfeller oppdaget CryptoDrop trusselen, drepte den og byttet til Lockdown-modus.

Noen ganger støter jeg på ransomware-beskyttelsesverktøy som kan folieres hvis ransomware starter ved oppstart, før anti-ransomware-verktøyet. CyberSight RansomStopper mislyktes i denne testen, det samme gjorde ransomware-beskyttelsen i den nyeste IObit Advanced SystemCare Ultimate. Da jeg satte en av ransomware-prøvene til å starte ved oppstart og startet på nytt, hadde CryptoDrop ingen problemer med å forsvare seg mot det.

Gjenoppretting av Ransomware

CryptoDrop klarte seg veldig bra når det gjaldt ransomware. Gjenopprettingskomponenten fungerte for det meste, men utførelsen av den viste seg å være litt ujevn.

Som nevnt holder CryptoDrop sikre sikkerhetskopier av filene dine i en mappe hvis innhold andre apper bare ikke kan se. Når du klikker på Gjenopprett filer, viser det en liste over filer som er berørt av det nylige ransomware-angrepet. Det korte, brede gjenopprettingsvinduet fylte hele bredden (1280 piksler) på testsystemet mitt, men var ikke så høyt nok til å vise et titalls filer. For hver fil viste den det opprinnelige fullstendige banenavnet, banenavnet for den beskyttede sikkerhetskopien, et dato / tidstempel og prosessen som skadet originalen. Uansett årsak viser det gjenopprettingsbanenavn i alle caps, noe som gir en vanskelig å lese skjerm.

Det er viktig å gå gjennom listen over filer og velge bare de du vil gjenopprette. Jeg fant ut at i de fleste tilfeller denne listen inkluderte filer opprettet av ransomware; du vil ikke gjenopprette dem. I stedet for å bruke avmerkingsbokser for valg, krever CryptoDrop at du Ctrl + klikker på hvert element du vil gjenopprette.

I begge tilfeller skjedde selve gjenopprettingsprosessen raskt, og så vidt jeg kunne si, gjenopprettet alle filene riktig. I noen tilfeller gjorde det imidlertid ganske mye mer. For eksempel resulterte ett gjenopprettingsforsøk i fire versjoner for hver fil. I tillegg til det riktig gjenopprettede dokumentet og den gjenværende krypterte versjonen, var det en samme navngitte fil uten filtype, og en annen kopi med utvidelsen.RECOVERED. Det virket litt rotete.

I en annen, mer urolig sak, fortsatte ransomware-prosessen etter at CryptoDrop visstnok suspenderte den. Mens jeg jobbet med gjenopprettingsprosessen, endret det skrivebordet til løsepenger og viste også løsepengebehovet som en HTML-fil. For å være rettferdig klarte den ikke noen ytterligere krypteringsaktivitet, men en suspendert fil burde ikke kjøres i det hele tatt.

Diskkryptering Ransomware

Ransomware for filkryptering er uten tvil den vanligste typen, men det er noen få trusler der ute som krypterer whle-stasjonen, noe som betyr at datamaskinen din er en murstein til du betaler løsepenger. Den beryktede Petya ransomware forfalsker et systemkrasj etterfulgt av en disksjekk ved oppstart, men det den egentlig gjør er å kryptere stasjonen mens du later som om du sjekker den.

Som de fleste ransomware-beskyttelsesverktøy, fokuserer CryptoDrop på filkrypterere, ikke på hele diskkrypteringstypen. Det gjorde ingenting for å stoppe Petya-prøven min. De eneste produktene jeg har sett, forhindrer angrep fra Petya, er Acronis, RansomStopper og Sophos Home Premium.

Andre teknikker

Selv om atferdsbasert deteksjon er den vanligste funksjonen i ransomware-beskyttelsesverktøy, er det ikke den eneste teknikken som kan hjelpe. Bitdefender Antivirus Plus, Trend Micro RansomBuster, og noen få andre forbyr modifisering av beskyttede filer av uautoriserte programmer. Hvis du får en popup-advarsel akkurat som du lanserer, for eksempel, et nytt bilderedigeringsprogram, klikker du bare for å hvitliste det. Hvis advarselen kommer som en overraskelse, blokkerer du aktiviteten.

Panda Internet Security og IObit Advanced SystemCare Ultimate er blant de få som også blokkerer uautoriserte programmer fra å lese dine beskyttede filer. Dette betyr at de også kan hindre datastjeling av trojanere.

En vellykket ransomware-gründer må sørge for at "kunder" som betaler løsepenger, kan få filene sine tilbake. Det betyr at de må unngå å kryptere det samme systemet to ganger, noe som betyr at de trenger å merke infiserte systemer på noen måte. Den gratis Bitdefender Anti-Ransomware bruker dette faktum for å "vaksinere" PC-er mot veldig spesifikke, kjente ransomware-angrep. Det tuller ganske enkelt angriperen til å tro at den allerede har ødelagt ødeleggelsene.

Atferdsbasert deteksjon har en potensiell svakhet. Ransomware kan godt kryptere minst noen få filer før atferdsalgoritmen starter for å stoppe den. De gratis Malwarebytes og Cybereason RansomFree mistet begge et par filer under testing. Det er fremdeles bedre enn å miste alle filene dine, men et system for filgjenoppretting er enda bedre. I tester gjorde ZoneAlarm en perfekt jobb med utvinning. Det var bare en feil der utvinning lyktes, men rapporterte feil.

En interessant nykommer

CryptoDrop er et relativt nytt selskap, basert på teknologi skapt av professor i informatikk ved University of Florida. Den har noen få røffe kanter, for eksempel den vanskelige presentasjonen av filer for gjenoppretting, og sporadisk mangedobling av gjenopprettede filer. Ved testing blokkerte det både ransomware fra virkeligheten og simulert ransomware, selv om ett ransomware-program fortsatt var i gang etter at CryptoDrop rapporterte at det ble undertrykt. Jeg ser frem til en fremtidig versjon med litt mer polsk.

Våre redaktørers valg for ransomware-beskyttelse er Check Point ZoneAlarm Anti-Ransomware. For $ 2, 99 per måned for tre lisenser, er prisen ikke mye forskjellig fra CryptoDrop. Ved testing oppdaget den alle ransomware-prøvene og gjenopprettet alle filer som ransomware krypterte. Hvis selv den lave prisen er for mye, kombinerer gratis Acronis Ransomware Protection en atferdsbasert gjenkjenning med en kryptert sky-sikkerhetskopi av de sensitive filene dine.