Innholdsfortegnelse:
- Konfigurere CryptoPrevent
- Testing av CryptoPrevent
- Beskyttelse av Honeypot
- Påtrengende og ineffektiv
Video: CryptoPrevent Premium (Oktober 2024)
Det er ingen hemmelighet at ransomware er et stort problem, og produkter som tar sikte på å beskytte mot ransomware blir mer og mer populære. Mange slike verktøy er helt nye svar på trusselen, men CryptoPrevent Premium 8, fra Foolish IT, har kjempet mot ransomware siden 2013, da den siktet sine mål på CryptoLocker. Ved testing viste det seg imidlertid at det var mye mer komplisert enn konkurrerende spesifikke produkter for ransomware, og langt mindre effektive.
Som RansomFree og Malwarebytes Anti-Ransomware, er CryptoPrevent ikke designet for å brukes i et vakuum. Snarere er poenget å bruke den sammen med din eksisterende beskyttelse, for å utslette eventuelle løsepenger som glir forbi det vanlige antivirusprogrammet ditt. Det gir perfekt mening. Det er alltid mulig at skadelig programvare av noe slag midlertidig kan unngå antivirusbeskyttelse, men til slutt utsletter en antivirusoppdatering det. Selv om antiviruset utsletter ransomware ex post facto, kan det imidlertid ikke dekryptere filene dine.
I 2013 dukket CryptoLocker ut som den første trusselen for store nyheter. Utviklerne på Foolish IT tenkte opprinnelig CryptoPrevent for å bekjempe den bestemte cybertrusselen, og jeg ser for meg at det gjorde en god jobb, tilbake på dagen. Imidlertid fortsetter ransomware å utvikle seg, og CryptoLocker selv har falt ved veikanten. Som jeg vil forklare, indikerer testing at CryptoPrevent ikke har holdt følge med den utviklingen.
Konfigurere CryptoPrevent
Jeg startet med å installere produktets gratisutgave. Forskjellen mellom dette verktøyet og andre ransomware-spesifikke verktøy var umiddelbart tydelig. Der Cybereason RansomFree og Malwarebytes fungerer i bakgrunnen, med et minimum av brukerinteraksjon, idrett CryptoPrevents hovedvindu syv faner, som hver sprenger med innstillinger. Det viktigste av disse er hovedfanen, merket Apply Protection, som lar deg velge en beskyttelsesplan.
Ved første lansering er beskyttelsesplanen satt til Ingen, noe som betyr at programmet er inaktivt. På minimalt nivå lover det å blokkere CryptoLocker og muligens annen malware, men ikke nyere trusler. Når den er satt til Standard, gir den beskyttelse mot en rekke trusler mot skadelig programvare, men fortsatt ikke nødvendigvis den nyeste løseprogramvaren. På Maksimumsnivå, det høyeste tilgjengelige i gratisutgaven, advarer det om at du må deaktivere beskyttelse når du installerer eller avinstallerer programvare; den gir ikke spesifikke løfter om ransomware.
Hvis du klikker på fanen Beskyttelsesinnstillinger, vises et vindu med fem underkategorier, hvorav noen har egne underkategorier. Ja, det er veldig forskjellig fra konkurransen. Fanen Programvarebegrensningspolitikk forhindrer programstarter fra spesifikke systemområder som vanligvis ikke inneholder kjørbare filer, for eksempel midlertidige mapper. Vær oppmerksom på at programvarebegrensningsregler er en Windows-funksjon som administreres av CryptoPrevent.
Da jeg så FolderWatch-fanen, antok jeg først at CryptoPrevent ville forhindre at uautoriserte programmer endrer filer i de beskyttede mappene, som inkluderer Desktop og Documents-mappene. Panda Internet Security og IObit forhindrer all tilgang, til og med skrivebeskyttet tilgang, i beskyttede mapper. Som min kontakt i selskapet forklarte, det er ikke slik CryptoPrevent ruller. Snarere skanner den hvilken som helst fil som er droppet i disse områdene, og karantener dem som den gjenkjenner som malware.
Når du velger og bruker en beskyttelsesplan, tilbyr CryptoPrevent å hvitliste eksisterende programmer i de beskyttede områdene. Det er fornuftig; Ellers vil du synes det blokkerer legitime programmer.
Å betale 15 $ -abonnementet gjør en mer beskyttelsesplan tilgjengelig, kalt Extreme. I likhet med Maksimumsnivået anbefaler programmet å slå av beskyttelsen for å installere eller avinstallere programmer, og bemerker videre at det kan forstyrre legitim programvare. På ekstremnivå blir hurtigvarslingsikonet, med sin enorme meny, tilgjengelig. Du får ikke de samme varslene i gratisutgaven.
På ekstremnivå blir også FolderWatch HoneyPot-funksjonen tilgjengelig. Denne betafunksjonen fyller typiske angrepsposisjoner for ransomware med agnfiler. Mer om honeypot senere.
Testing av CryptoPrevent
Som nevnt startet jeg med å installere gratisutgaven. Før jeg innså at FolderWatch ikke hadde som mål å forhindre filtilgang av uautoriserte programmer, testet jeg den med en bitteliten tekstredigerer og en enkel filkrypterer. Jeg skrev disse selv, så de er definitivt ikke på noen godkjent programliste. Naturligvis reagerte ikke CryptoPrevent; det er ikke hva det er ment å gjøre.
Deretter isolerte jeg den virtuelle maskinen nøye fra nettverket og ga ut et halvt dusin ransomware-prøver fra den virkelige verden, én om gangen. For en prøve rapporterte en Windows-feilmelding "Systemadministratoren har blokkert dette programmet." Da jeg avfeide meldingen, prøvde ransomware imidlertid å starte på nytt, og meldingen dukket opp igjen og igjen og til nauseam, til jeg avsluttet den virtuelle maskinøkten og gikk tilbake til en ren tilstand.
En annen prøve klarte ganske enkelt ikke å fungere, uten melding eller varsling. Men resten av prøvene eide testsystemet fullstendig, krypterte filer og viste truende meldinger som krevde løsepenger for å få dem tilbake. Den gratis utgaven gir tydeligvis ikke mye beskyttelse. Konfrontert med de samme prøvene stoppet Malwarebytes dem alle, og Ransomfree stoppet alle unntatt en. Den ransomware-spesifikke beskyttelsen i Acronis True Image 2017 New Generation stoppet også alt annet enn én.
Jeg oppgraderte til Premium-utgaven, valgte Extreme protection og kjørte disse testene igjen. Resultatene var de samme, med en mindre forskjell. Da jeg prøvde ransomware-prøven som på mystisk vis mislyktes under gratisutgavens beskyttelse, fikk jeg en popup-varsling som rapporterte at System Restriction Policies blokkerte den. På samme måte genererte prøven som kom i en sløyfe med CryptoPrevent nå en popup varsling hver gang.
Jeg bruker KnowBe4s RanSim ransomware-simulator for testing også, men jeg tar resultatene med et saltkorn. Noen selskaper hevder at dets simulerte ransomware ikke er likt nok til faktisk ransomware, så deres atferdsbaserte deteksjonssystemer ignorerer det. Ransomfree oppdager for eksempel ingen av simuleringene; Jeg behandler det ikke som et negativt. Imidlertid oppdaget Malwarebytes Anti-Ransomware Beta åtte av de 10, og Acronis blokkerte aktivt ni av de 10 simuleringene. Når det gjelder CryptoPrevent, reagerte den ikke på den simulerte ransomware.
Beskyttelse av Honeypot
Malware-forskere bruker ofte honepunkter - internett-tilkoblede datamaskiner uten sikkerhetsbeskyttelse - for å fange malware-prøver. CryptoPrevents honeypotsystem legger dusinvis av "agn" -filer til populære steder, for eksempel Desktop og Documents-mappene. Da jeg aktiverte denne funksjonen, fikk jeg en sterk advarsel om at jeg også må aktivere Quick Access varslingsikonet, og at hvis jeg ikke gjorde det, ville CryptoPrevent slå av systemet uten advarsel om å oppdage ransomware. Jeg hadde allerede aktivert den funksjonen, så jeg hadde ingen bekymringer.
Det første jeg la merke til når jeg aktiverte honeypot, var at skrivebordet mitt absolutt fylte og rant av ikoner. CryptoPrevent la til rundt 80 filer på skrivebordet, mappen Dokumenter og andre områder. (Ja, jeg har Windows satt til å vise skjulte filer; gjør du ikke?) Jeg var slett ikke fornøyd med at programmet brukte skrivebordet mitt, men fortsatte å teste.
Resultatene var ikke oppmuntrende. Én prøve gikk uten forstyrrelser, krypterte alle agnfilene og andre filer og viste defiivt løsepengene. I to tilfeller oppdaget CryptoPrevent ransomware-aktivitet. Det anbefalte å slå av systemet umiddelbart og søke eksperthjelp til å håndtere angrep. Men i et av disse to tilfellene fant jeg ut at ransomware hadde kryptert alle (eller nesten alle) sårbare filer før deteksjon. Derimot avsluttet Ransomfree, Malwarebytes og Acronis alle ransomware-aktivitetene før den kunne gjøre mye skade. I noen tilfeller er noen få filer avviklet kryptert, men bare noen få.
Påtrengende og ineffektiv
Jeg anbefaler på det sterkeste å supplere det vanlige antivirusprogrammet ditt med et verktøy som er spesielt beregnet på å oppdage ransomware som antivirusprogrammet kan gå glipp av. Men jeg anbefaler ikke CryptoPrevent Premium 8 til det formålet. Som egne instruksjoner innrømmer, kan det forstyrre normal programdrift, og de høyere beskyttelsesnivåene må være slått av hvis du vil installere eller avinstallere programmer. Når jeg testet, kastet honeypot-funksjonen skrivebordet mitt med flere ikoner enn til og med ville passe. Og selv på det høyeste beskyttelsesnivået forhindret det ikke kryptering av noen ransomware-prøver fra den virkelige verden.
Min kontakt på Foolish IT peker på at dette produktet har som mål å arbeide sammen med eksisterende antivirus, ikke på egen hånd. Og selskapet anbefaler på det sterkeste å holde en fullstendig og oppdatert sikkerhetskopi som den beste beskyttelsen. Likevel gjør konkurrerende produkter beviselig jobben som CryptoPrevent ikke gjør.
Hvis du skal supplere antiviruset med ransomware-beskyttelse, vil du ha noe som er så lite påtrengende som mulig - og det gjør den tiltenkte jobben. Cybereason RansomFree og Malwarebytes Anti-Ransomware Beta passer begge til profilen, og de er gratis. Faktisk kjører jeg begge deler på min egen datamaskin og supplerer min viktigste antivirusbeskyttelse.