Огляд та рейтинг Winpatrol winantiransom

Майже всі антивірусні програми в моїх оглядах - це лише оновлення продуктів, які я перевіряв багато разів протягом багатьох років. Я рідко бачу щось нове, саме тому я був радий перевірити WinPatrol WinAntiRansom. Незважаючи на назву, цей продукт спрямований на захист від усіх форм зловмисного програмного забезпечення, а не лише від викупу. Оскільки він аналізує поведінку програми, а не покладається на підписи, він теоретично повинен бути однаково ефективним проти всіх зловмисних програм, включаючи абсолютно нові атаки з нульовим днем. На практиці, однак, вони пропустили деякі шкідливі програми та помилково визначили багато хороших програм як шкідливих.

За $ 19, 95 на рік, або 24, 95 долара за три ліцензії, WinAntiRansom, очевидно, дешевше більшості. Дивлячись суворо на цінову ціну, Bitdefender Antivirus Plus 2017, Kaspersky, Norton та Webroot коштували вдвічі більше за одну ліцензію. McAfee працює в три рази вище ціни WinAntiRansom, але дозволяє необмежену кількість установок. З іншого боку, платити трохи більше, ви отримуєте набагато більше на шляху захисту в цьому випадку.

WinAntiRansom незвичайний тим, що у нього немає головного екрана чи головного вікна. Під час запуску на ньому відображається сторінка налаштувань, стрічка вгорі дозволяє отримати доступ до журналів, конфігурації, довідки тощо. Набір піктограм вгорі праворуч розширюється на екран, що дозволяє вибирати з майже чотирьох десятків скінів, включаючи декілька, присвячених конкретним сезонам чи святам. Я не можу зрозуміти, чому програмі проти зловмисного програмного забезпечення потрібно стільки скінів.

Відразу після встановлення WinAntiRansom запускає сканування для виявлення та переліку відомих хороших програм, присутніх у системі. Клацання піктограми "Програми" відображає цей список, який позначає цифрові підписані програми та компоненти Windows із спеціальними значками. Після завершення цього сканування WinAntiMalware починає роботу.

Блокування зловмисного програмного забезпечення при запуску

Незалежні лабораторії для тестування антивірусів у всьому світі мають більше ресурсів, ніж я, для тестування програм безпеки. Те, що вони взагалі тестують програму, говорить про те, що вони вважають її досить важливою, і що постачальник готовий до участі. Хороші бали? Навіть краще! Антивірус Касперського, зокрема, отримує відмінні результати у всіх лабораторіях, які я дотримуюсь.

На жаль, жодна з лабораторій не включає WinAntiRansom в тестування. Це не означає, що це погано, але це не вселяє впевненість.

Не маючи результатів тестування незалежних лабораторій, мені довелося повністю покладатися на практичне тестування ефективності цієї утиліти. На відміну від більшості антивірусних програм, WinAntiRansom дивиться лише на поведінку програми, тому сканування під час доступу немає. Це зробило тестування простим. Я щойно запустив кожен зразок зловмисного програмного забезпечення у своїй колекції та записав реакцію програми.

Антивірус виявив 97 відсотків моїх зразків, як і Norton, Trend Micro Antivirus + Security та кілька інших. У кожному випадку в ньому з’явилося вікно сповіщень з назвою "Блок попереднього страйку!" і рядок із зазначенням "Виконували дії, пов’язані із скануванням / зловмисним програмним забезпеченням", після чого число в дужках. Спливаюче вікно запропонувало два варіанти: Дозволити наступний раз та Карантин. WinAntiRansom виявив деякі зразки відразу після запуску, інші - через деякий час.

Ці цифри мене заінтригували. Під час мого тестування я зіткнувся з 15 різними числами, починаючи від одного до 3001. Мій контакт у компанії пояснив, що цифри являють собою остаточну дію, яка підсунула сукупний бал поведінки програми вгорі. "Ми ніколи не оприлюднювали їх, оскільки не хочемо допомагати авторам шкідливих програм знайти спосіб уникнути виявлення або конкурентів покращити свою продукцію", - пояснив він.

Діаграма результатів блокування зловмисного програмного забезпечення

Карантин WinAntiRansom заважав більшості зразків зловмисних програм взагалі нічого не встановлювати. Однак у кількох випадках я виявив, що процес зловмисного програмного забезпечення не тільки встановлений, але й працює. Можливо, що система виявлення на основі поведінки карантинувала один процес, але пропустила інший. Це знизило загальний бал WinAntiRansom до 9, 2 бала. Symantec Norton AntiVirus Basic та Trend Micro заробили 9, 7 балів, оскільки повністю заблокували кожну виявлену атаку зловмисних програм. У цьому тесті Webroot займає перше місце, маючи ідеальні 10 балів.

Багато помилкових позитивів

Я міг би написати антивірусну програму, яка абсолютно блокує кожну шкідливу програму. Єдина проблема полягає в тому, що вона також заблокує будь-яку програму, яка не є шкідливою. У реальному світі антивірусні програми мають дві цілі - заблокувати всі шкідливі програми та залишити всі дійсні програми в спокої. Помилкові позитиви, позначаючи дійсні програми як шкідливі, руйнують довіру користувача до точності антивірусу.

Для перевірки хибної позитивності я перевірив реакцію WinAntiRansom на колекцію корисних програм, що були опубліковані в PC Magazine. Я зберігаю ці утиліти в тій самій папці, що і зразки зловмисного програмного забезпечення, переглядаючи список за алфавітом і запускаючи і хороші, і погані програми.

Результати були похмурими. Лише п’ять із 20 програм уникнули попереджувального страйкового блоку WinAntiRansom. Так, користувач міг вибрати наступний раз дозволити програму та запустити її знову. Але я не прихильник програм безпеки, які залишають таке рішення для користувача. Той факт, що спливаюче сповіщення не визначає його причини для класифікації програми як зловмисного програмного забезпечення, робить це рішення надзвичайно жорстким.

Блокування останніх загроз

Я не зміг застосувати свій звичайний тест на блокування шкідливих URL-адрес до WinAntiRansom, оскільки він не намагається заблокувати доступ до URL-адрес хостингу програмного забезпечення та не сканує завантаження, поки вони не запустяться. Але я ціную цей тест, оскільки зразки зловмисного програмного забезпечення в каналі MRG-Effitas дуже актуальні, а самі URL-адреси не більше доби. Отже, я створив модифікований тест для WinAntiRansom.

Зазвичай я використовую 100 зразків, але для цього більш трудомісткого тесту я зупинився, як тільки завантажив 50 з них. Тоді я просто пішов по лінії, запустивши кожен і відзначивши відповідь програми. Результати були невтішними. WinAntiRansom пропонував на карантин лише 78 відсотків зразків. Нортон заблокував 98 відсотків, в основному, витираючи завантажені шкідливі програми. Avira Antivirus Pro забезпечив 95-відсотковий захист, майже весь, спрямовуючи браузер від URL-адреси хостингу зловмисного програмного забезпечення.

Тільки для перевірки здоровості я запустив хеш MD5 кожного зразка через VirusTotal. VirusTotal перевіряє кожен зразок на понад 50 антивірусних двигунів та повідомляє, скільки людей вважає це шкідливим. Я зафіксував відсоток, який позначив кожен зразок як зловмисний. Для файлів, виявлених WinAntiRansom, середній показник виявлення VirusTotal становив 59 відсотків. Для тих, хто її пропустив, в середньому було 53 відсотки, що не є великою різницею.

Якщо чесно, можливо, деякі з цих пропущених файлів просто не розпочали свою шкідливу поведінку. Це небезпека суворого виявлення на основі поведінки - воно не може визначити програму, яка просто ховається у фоновому режимі, чекаючи можливості поганого поводження. Але Webroot SecureAnywhere AntiVirus також використовує виявлення на основі поведінки, і воно набрало набагато краще у всіх моїх тестах.

Дивіться, як ми тестуємо програмне забезпечення безпеки

Інші функції та недоліки

У WinAntiRansom є численні додаткові шари для запобігання пошкодженню шкідливої ​​програми, яка проходить повз її виявлення на основі поведінки. Блокування мережі працює як управління програмою брандмауера, блокуючи мережеві з'єднання програмами, які не входять до списку довіри. Захист реєстру не дозволяє невідомим програмам вносити зміни до критичних областей Реєстру. Компанія навмисно не перераховує критичні області Реєстру, щоб не спростити хакерів.

У якості додаткової проблеми проти викупного програмного забезпечення WinAntiRansom забороняє невідомі програми доступу до файлів у SafeZone, який за замовчуванням є підпапкою вашої папки «Документи». Я думав, що було б більше сенсу помістити всю папку «Документи» у SafeZone, але додаток не дозволив мені. На стрічці ви можете натиснути піктограми, щоб переглянути всі останні дії за допомогою захисту реєстру, блокування мережі та SafeZone.

Я спробував перевірити мережеве блокування, переглядаючи Інтернет своїми крихітними веб-переглядачами, кодованими вручну. Однак WinAntiRansom визначив це шкідливим. Єдиний спосіб, коли я міг би це запустити, - це позначити його як довірене, і тоді він більше не підлягав блокуванню мережі. Так само я думав, що зможу протестувати SafeZone за допомогою крихітного текстового редактора, який я написав сам, але WinAntiRansom поставив його під карантин. Усі три мої списки залишилися порожніми, так само, як вони є на знімках екрану довідкової системи.

Під час мого тестування програма кілька разів застигала, викликаючи запит від Windows про те, чи хотів я її просто закрити чи спочатку шукати рішення. Крім того, воно декілька разів зазнало аварії з повідомленням про помилку виправлення виключень.

Я також зіткнувся з дуже химерною поведінкою, пов’язаною з особливістю скінів. По-перше, я вибрав шкіру на День Святого Валентина, яка перетворює фон у рожевий, з маленькими сердечками, розкиданими навколо. Потім я змінив розмір вікна. У цей момент фон почав кружляти через три види, кожен з яких повільно змітався вниз. Один був правильним рожевим серцем, один - сіткою, що заповнює вікна з маленьких значків передач, а одна - просто чорною. Своєрідний дисплей через деякий час зупинився, але запустився знову, якщо я змінив розмір вікна. Така поведінка була повністю повторюваною і траплялася з одними, але не з усіма, іншими шкурами. Раніше я згадував, що мене бентежить величезна кількість дизайнерської уваги, яка приділяється постачанню десятків шкурок, а дивна поведінка шкіри просто робить це більш дивним.

Потреби працюють

WinPatrol WinAntiRansom має на меті захистити вас від відомих і невідомих зловмисних програм, спираючись на їх виявлення на поведінку, а не на попередньо визначені підписи. Це благородна мета, але, наскільки я міг бачити на тестуванні, програма має пройти довгий шлях. Він пропустив деякі шкідливі програми, заблокував багато дійсних програм і виявив дивно баггі поведінку при тестуванні.

З величезної кількості антивірусних продуктів ми виділили п'ять як вибір редакторів: Bitdefender Antivirus Plus, Антивірус Касперського, McAfee AntiVirus Plus, Symantec Norton AntiVirus Basic та антивірус Webroot SecureAnywhere. У кожного є свої чесноти; наприклад, McAfee пропонує необмежену кількість установок, а Webroot успішно використовує виявлення на основі поведінки. Ви платите більше за одну з цих антивірусних утиліт, але отримуєте значно кращий захист.