Зміст:
Відео: CryptoPrevent Premium (Жовтень 2024)
Не секрет, що викупне програмне забезпечення є великою проблемою, а продукти, спрямовані на захист від викупних програм, стають все більш популярними. Багато таких інструментів - це абсолютно нові відповіді на загрозу, але CryptoPrevent Premium 8, від Foolish IT, бореться з викупом з 2013 року, коли він прицілився до CryptoLocker. Однак у процесі тестування це виявилося набагато складніше, ніж конкурентні продукти, характерні для випуску програм, та набагато менш ефективні.
Як і RansomFree та Malwarebytes Anti-Ransomware, CryptoPrevent не призначений для використання у вакуумі. Скоріше, сенс полягає в тому, щоб використовувати його поряд із наявним захистом, щоб знищити будь-яке програмне забезпечення, яке проскочить повз ваш звичайний антивірус. Це має ідеальний сенс. Завжди можливо, що будь-яке зловмисне програмне забезпечення може тимчасово ухилятися від антивірусного захисту, але з часом антивірусне оновлення видаляє його. Однак, навіть якщо антивірус видаляє вимкнення програм ex post facto, він не може розшифрувати ваші файли.
У 2013 році CryptoLocker виступила першою загрозою викупу з великими новинами. Розробники Foolish IT спочатку розробили CryptoPrevent для боротьби з цією кіберзагрозою, і я думаю, що це зробило хорошу роботу ще в той час. Однак викупне програмне забезпечення постійно розвивається, а сам CryptoLocker відпав убік. Як я поясню, тестування показує, що CryptoPrevent не йшов у ногу з цією еволюцією.
Налаштування CryptoPrevent
Я почав, встановивши безкоштовну версію продукту. Різниця між цією утилітою та іншими інструментами, необхідними для вишуку, була очевидною. Там, де Cybereason RansomFree та Malwarebytes працюють у фоновому режимі, з мінімальним взаємодією користувачів, головне вікно CryptoPrevent має сім вкладок, кожна з яких налаштована налаштуваннями. Найважливіша з них - це головна вкладка з написом Apply Protection, яка дозволяє вибрати план захисту.
При першому запуску план захисту встановлюється на "Немає", тобто програма неактивна. На мінімальному рівні він обіцяє блокувати CryptoLocker та, можливо, інші зловмисні програми, але не новіші загрози. Якщо встановлено значення за замовчуванням, воно забезпечує захист від низки загроз зловмисного програмного забезпечення, але все ж не обов'язково найновішого програмного забезпечення. На рівні "Максимальний", найвищому у вільній версії, він попереджає, що вам потрібно буде відключити захист під час встановлення чи видалення програмного забезпечення; він не дає конкретних обіцянок щодо викупу.
При натисканні на вкладку «Налаштування захисту» відкривається вікно з п’ятьма вкладками, у деяких з яких є власні підвідкладки. Так, це дуже відрізняється від конкуренції. Вкладка Політика обмеження програмного забезпечення запобігає запуску програми з конкретних системних областей, які зазвичай не включають виконувані файли, наприклад, тимчасові папки. Зауважте, що Політика обмеження програмного забезпечення - це функція Windows, якою керує CryptoPrevent.
Побачивши вкладку FolderWatch, я спершу припустив, що CryptoPrevent запобігає несанкціонованим програмам змінювати файли в захищених папках, до яких належать папки Desktop і Documents. Panda Internet Security та IObit забороняють весь доступ, навіть доступ лише для читання, у захищених папках. Як пояснив мій контакт у компанії, CryptoPrevent прокручується не так. Швидше сканує будь-який файл, що потрапив у ці області, і піддає карантину тим, хто його визнає шкідливим програмним забезпеченням.
Вибираючи та застосовуючи план захисту, CryptoPrevent пропонує додати до списку існуючі програми в захищених зонах. Що має сенс; інакше ви виявите, що це блокує законні програми.
Оплата 15 доларів підписки надає ще один план захисту, який називається Extreme. Як і у випадку з максимальним рівнем, програма рекомендує вимкнути захист для встановлення або видалення програм, а також додатково зазначає, що це може заважати законному програмному забезпеченню. На екстремальному рівні стає доступним значок сповіщення швидкого запуску з його масивним меню. Ви не отримуєте однакових повідомлень у безкоштовній редакції.
На екстремальному рівні також стає доступною функція FolderWatch HoneyPot. Ця бета-функція заповнює типові місця атаки викупних файлів файлами наживки. Більше про медовий горщик пізніше.
Тестування CryptoPrevent
Як зазначалося, я почав із встановлення безкоштовного видання. Перш ніж я зрозумів, що FolderWatch не ставить собі за мету запобігти доступу до файлів несанкціонованими програмами, я перевірив його за допомогою крихітного текстового редактора та простого шифрувача файлів. Я написав це сам, тому їх точно немає в списку схвалених програм. Природно, CryptoPrevent не реагував; це не те, що призначено робити.
Далі я обережно виділив віртуальну машину з мережі і випустив півдюжини зразків реального програмного забезпечення, по одному. Для одного зразка повідомлення про помилку Windows повідомило: "Ваш системний адміністратор заблокував цю програму." Однак, коли я відхилив повідомлення, програма, що вимагає сканування, намагалася запуститись знову, і повідомлення знову з’являлося, знов і знов, нудотно, поки я не закінчив сеанс віртуальної машини і повернувся до чистого стану.
Інший зразок просто не функціонував, не маючи повідомлення або повідомлення. Але решта зразків повністю володіли тестовою системою, шифруючи файли та показуючи загрозливі повідомлення, вимагаючи викупу повернути їх. Зрозуміло, що безкоштовне видання не забезпечує особливого захисту. Зіткнувшись з тими ж зразками, Malwarebytes зупинив їх усіх, а Ransomfree зупинив усіх, крім одного. Спеціальний захист від випуску програмного забезпечення в Acronis True Image 2017 New Generation також зупинив усіх, крім одного.
Я перейшов до версії Premium, вибрав Extreme protection і знову запустив ці тести. Результати були однаковими, з однією незначною різницею. Коли я спробував зразок програмного забезпечення, який загадково вийшов з ладу під захистом безкоштовного видання, я отримав спливаюче сповіщення, в якому повідомляється, що системна політика обмеження заблокувала його. Аналогічно, зразок, який потрапив у цикл із CryptoPrevent, тепер кожного разу генерує спливаюче повідомлення.
Для тестування я також використовую симулятор викупового програмного забезпечення RanSim KnowBe4, але його результати беру з зерном солі. Деякі компанії стверджують, що його модельоване викупне програмне забезпечення недостатньо схоже на фактичне програмне забезпечення, тому їх системи виявлення на основі поведінки ігнорують його. Наприклад, Ransomfree не виявляє жодного з симуляцій; Я не ставлюся до цього як до негативного. Однак Malwarebytes Anti-Ransomware Beta виявив вісім з 10, а Acronis активно заблокував дев'ять з 10 моделювання. Що стосується CryptoPrevent, він взагалі не реагував на змодельоване вимога програмного забезпечення.
Захист Honeypot
Дослідники зловмисних програм часто використовують медові горщики - комп’ютери, підключені до інтернету, без захисту, - щоб вибирати зразки зловмисних програм. Система опеньків CryptoPrevent розміщує десятки файлів "приманки" у популярних місцях, таких як папки Desktop і Documents. Коли я ввімкнув цю функцію, я отримав настійливе попередження про те, що я також повинен увімкнути піктограму сповіщень щодо швидкого доступу, і що якщо я цього не зробив, CryptoPrevent вимкне систему без попередження про виявлення програмного забезпечення. Я вже включив цю функцію, тому у мене не було ніяких турбот.
Перше, що я помітив при включенні сотника, це те, що мій робочий стіл абсолютно заповнений і переповнений іконками. CryptoPrevent додав близько 80 файлів на робочий стіл, папку «Документи» та інші області. (Так, у мене Windows налаштована на відображення прихованих файлів; чи не так?) Я зовсім не був задоволений програмою, яка узурпувала мій робочий стіл, але я приступила до тестування.
Результати не були обнадійливими. Один зразок протікав без перешкод, шифруючи всі файли наживки та інші файли та викликаючи демонстрацію своєї записки про викуп. У двох випадках CryptoPrevent виявляв активність викупу. Він радив негайно вимкнути систему та звернутися за допомогою до експерта для боротьби із зараженням. Але в одному з цих двох випадків я виявив, що програмне забезпечення для шифрування зашифрувало всі (або майже всі) вразливі файли до виявлення. Навпаки, Ransomfree, Malwarebytes та Acronis закрили діяльність, яка вимагає вибору програмного забезпечення, перш ніж вона могла завдати великої шкоди. У деяких випадках кілька файлів завершуються зашифрованими, але лише декілька.
Нав'язливий і неефективний
Я настійно рекомендую доповнити ваш звичайний антивірус утилітою, спеціально спрямованою на виявлення викупного програмного забезпечення, яке антивірус може пропустити. Але я не рекомендую CryptoPrevent Premium 8 для цієї мети. Як визнають власні інструкції, це може заважати нормальній роботі програми, а її високий рівень захисту потрібно вимкнути, якщо ви хочете встановити або видалити програми. Під час тестування, його функція медового горщика зібрала мій робочий стіл з більшою кількістю іконок, ніж навіть підходить. І навіть на найвищому рівні захисту це не завадило шифруванню деякими зразками реального програмного забезпечення.
Мій контакт із Foolish IT вказує на те, що цей продукт має намір працювати поруч із існуючим антивірусом, а не самостійно. І компанія настійно рекомендує зберігати повну та сучасну резервну копію як найкращий захист. Незважаючи на це, конкурентоспроможні продукти демонстративно виконують роботу, яку не робить CryptoPrevent.
Якщо ви збираєтесь доповнити свій антивірус захистом від вимушеного програмного забезпечення, ви хочете щось максимально ненав’язливе - і це може зробити заплановану роботу. Бета-версія Cybereason RansomFree і Malwarebytes Anti-Ransomware Beta обидва відповідають профілю, і вони безкоштовні. Насправді я працюю як на власному головному комп’ютері, доповнюючи свій основний антивірусний захист.
