Taula de continguts:
Vídeo: CryptoPrevent Premium (Octubre 2024)
No és cap secret que el ransomware sigui un gran problema, i els productes que pretenen protegir-se contra el ransomware són cada cop més populars. Moltes d'aquestes eines són noves respostes a l'amenaça, però CryptoPrevent Premium 8, de Foolish IT, lluita contra el ransomware des del 2013, quan va fixar la seva visió a CryptoLocker. Tanmateix, a les proves, es va resultar molt més complicat que competir productes específics per ransomware, i molt menys efectiu.
Com RansomFree i Malwarebytes Anti-Ransomware, CryptoPrevent no està dissenyat per utilitzar-se al buit. Més aviat, la qüestió és utilitzar-lo al costat de la vostra protecció existent, per esborrar qualsevol ransomware que passi per sobre del vostre antivirus habitual. Això té sentit perfecte. Sempre és possible que qualsevol tipus de programari maliciós pugui evitar la protecció antivirus, però eventualment una actualització antivirus s'esborra. Tanmateix, tot i que l’antivirus elimina el ransomware ex post facto, no pot desxifrar els fitxers.
El 2013, CryptoLocker va aparèixer com la primera amenaça de ransomware per a grans notícies. Els desenvolupadors de Foolish IT, originalment, van idear CryptoPrevent per combatre aquesta amenaça cibernètica determinada, i imagino que va fer un bon treball en aquell moment. Tot i això, ransomware segueix evolucionant i el mateix CryptoLocker ha caigut per la banda. Com explicaré, la prova indica que CryptoPrevent no ha seguit amb aquesta evolució.
Configuració de CryptoPrevent
Vaig començar instal·lant l’edició gratuïta del producte. La diferència entre aquesta utilitat i altres eines específiques del ransomware va ser immediatament evident. Quan Cybereason RansomFree i Malwarebytes treballen en segon pla, amb un mínim d'interacció entre els usuaris, la finestra principal de CryptoPrevent inclou set pestanyes, cadascuna amb opcions de configuració. El més important d’aquestes és la fitxa principal, amb l’etiqueta Aplica protecció, que us permet triar un pla de protecció.
El primer llançament, el pla de protecció està definit en Cap, cosa que significa que el programa està inactiu. Al nivell mínim, promet bloquejar CryptoLocker i possiblement altres programari maliciós, però no més noves. Si es defineix en Valor predeterminat, ofereix protecció contra diverses amenaces de programari maliciós, però encara no necessàriament del nou ransomware. Al nivell Màxim, el més alt disponible a l’edició gratuïta, adverteix que haureu de desactivar la protecció a l’hora d’instal·lar o desinstal·lar el programari; no fa promeses específiques sobre ransomware.
Al fer clic a la pestanya Configuració de protecció es mostra una finestra amb cinc subtabes, alguns dels quals tenen els seus subdivisos. Sí, és molt diferent a la competència. La pestanya Polítiques de restricció de programari impedeix els llançaments de programes en àrees específiques del sistema que normalment no inclouen fitxers executables, com ara carpetes temporals. Tingueu en compte que les polítiques de restricció de programari és una característica de Windows, gestionada per CryptoPrevent.
Quan vaig veure la pestanya FolderWatch, primer vaig suposar que CryptoPrevent impediria que els programes no autoritzats canviessin fitxers a les carpetes protegides, que inclouen les carpetes d’Escriptori i Documents. Panda Internet Security i IObit impedeixen tot accés, fins i tot accés de només lectura, a les carpetes protegides. Tal com explicava el meu contacte amb l'empresa, no és així com funciona CryptoPrevent. Més aviat, analitza qualsevol fitxer que cau en aquestes àrees i posa en quarantena els que reconeix com a programari maliciós.
Quan trieu i apliqueu un pla de protecció, CryptoPrevent ofereix la llista blanca de programes existents a les zones protegides. Això té sentit; altrament, ho trobaríeu bloquejant programes legítims
Si pagueu la subscripció de 15 dòlars, hi ha disponible un altre pla de protecció anomenat Extreme. Igual que amb el nivell Màxim, el programa recomana desactivar la protecció per instal·lar o desinstal·lar programes i, a més, nota que pot interferir amb el programari legítim. A nivell extrem, la icona de notificació de llançament ràpid, amb el seu menú massiu, està disponible. No rebeu les mateixes notificacions a l’edició gratuïta.
A nivell extrem, la funció FolderWatch HoneyPot també està disponible. Aquesta característica beta omple les ubicacions d'atac de ransomware típics amb fitxers bait. Més informació sobre el pa de mel després.
Prova CryptoPrevent
Com he apuntat, vaig començar instal·lant l’edició gratuïta. Abans d’adonar-me que FolderWatch no tenia l’objectiu d’evitar l’accés al fitxer per programes no autoritzats, el vaig provar amb un petit editor de text i un simple xifrador de fitxers. Jo mateix ho vaig escriure, de manera que definitivament no figuren en cap llista de programes aprovats. Naturalment, CryptoPrevent no va reaccionar; això no és el que s'ha de fer.
A continuació, vaig aïllar detingudament la màquina virtual de la xarxa i vaig publicar una mitja dotzena de mostres de ransomware del món real. Per a un exemple, un missatge d'error de Windows va informar que "l'administrador del vostre sistema ha bloquejat aquest programa". Tot i això, quan vaig rebutjar el missatge, el ransomware va intentar tornar a llançar-se i el missatge va tornar a aparèixer, una i altra vegada, ad nauseam, fins que vaig acabar la sessió de màquina virtual i vaig tornar a un estat net.
Una altra mostra simplement no ha pogut funcionar, sense cap missatge ni notificació. Però la resta de mostres posseïen completament el sistema de prova, xifrant fitxers i mostrant missatges amenaçadors que exigien un rescat per recuperar-los. És evident que l’edició gratuïta no ofereix gaire protecció. Davant les mateixes mostres, Malwarebytes les va detenir totes i Ransomfree va aturar totes menys una. La protecció específica del ransomware a Acronis True Image 2017 New Generation també va frenar tot menys un.
Vaig actualitzar a l’edició Premium, vaig triar protecció Extrema i vaig tornar a executar aquestes proves. Els resultats van ser els mateixos, amb una diferència menor. Quan vaig provar l'exemple de ransomware que va fallar misteriosament sota la protecció de l'edició gratuïta, vaig rebre una notificació emergent que va informar que les polítiques de restricció del sistema la van bloquejar. De la mateixa manera, la mostra que es va comprometre amb CryptoPrevent ara va generar una notificació emergent cada vegada.
També faig servir el simulador ransomware RanSim de KnowBe4 per fer proves, però tinc els resultats amb un gra de sal. Algunes empreses defensen que el seu ransomware simulat no és prou similar al ransomware real, per la qual cosa els sistemes de detecció basats en el seu comportament ho ignoren. Ransomfree, per exemple, no detecta cap de les simulacions; No ho considero negatiu. Tot i això, Malwarebytes Anti-Ransomware Beta va detectar vuit dels deu, i Acronis va bloquejar activament nou de les 10 simulacions. Pel que fa a CryptoPrevent, no va reaccionar en absolut al ransomware simulat.
Protecció mitjançant Honeypot
Els investigadors de programari maliciós solen fer servir els fulls de mel -ordinadors connectats a l’interior sense protecció de seguretat- per capturar mostres de programari maliciós. El sistema de bresques de CryptoPrevent col·loca desenes de fitxers "esquer" a ubicacions més conegudes, com ara les carpetes d'escriptori i documents. Quan he activat aquesta funció, he rebut un avís fort que també he d’habilitar la icona de notificació d’accés ràpid i que, si no ho fes, CryptoPrevent apagaria el sistema sense avisar sobre la detecció de ransomware. Ja havia activat aquesta funció, així que no tenia cap problema.
El primer que vaig notar a l’activació del pot de mel va ser que el meu escriptori estava completament ple d’icones. CryptoPrevent va afegir al voltant de 80 fitxers a l'escriptori, a la carpeta Documents i a altres àrees. (Sí, tinc Windows configurat per mostrar fitxers ocults; no?) No vaig estar del tot feliç amb el programa que usurpava l'escriptori, però vaig continuar amb les proves.
Els resultats no van ser encoratjadors. Una mostra va procedir sense interferències, xifrant tots els fitxers isca i altres fitxers i mostrant desafiant la seva nota de rescat. En dos casos, CryptoPrevent va detectar activitat de ransomware. Va aconsellar apagar immediatament el sistema i sol·licitar ajuda expert per fer front a la infestació. Però en un d’aquests dos casos, vaig trobar que el ransomware havia xifrat tots els fitxers vulnerables (o gairebé tots) abans de la detecció. Per contra, Ransomfree, Malwarebytes i Acronis tanquen l’activitat del ransomware abans que pogués fer mal. En alguns casos, alguns fitxers es van encriptar, però només uns quants.
Intrusiu i ineficaç
Us recomano fermament que suplementeu el vostre antivirus ordinari amb una utilitat dirigida específicament a detectar ransomware que antivirus pugui faltar. Però no recomano CryptoPrevent Premium 8 amb aquest propòsit. Tal com admeten les seves pròpies instruccions, pot interferir amb el funcionament normal del programa, i els nivells més alts de protecció s'han d'apagar si voleu instal·lar o desinstal·lar programes. A les proves, la seva característica de pot d'eliminació va arrossegar l'escriptori amb més icones de les que fins i tot encaixaria. I fins i tot en el nivell més alt de protecció, no va impedir el xifrat en algunes mostres de ransomware del món real.
El meu contacte amb Foolish IT assenyala que aquest producte pretén treballar juntament amb antivirus existents, no per si sol. I l’empresa recomana fermament mantenir una còpia de seguretat completa i actualitzada com a millor protecció. Tot i així, els productes que competeixen fan de manera demostrable la tasca que CryptoPrevent no fa.
Si voleu complementar el vostre antivirus amb protecció contra ransomware, voleu quelcom que sigui el més discret possible i que faci el treball previst. Cibereason RansomFree i Malwarebytes Anti-Ransomware Beta s’ajusten al perfil i són gratuïts. De fet, estic executant els dos en el meu propi ordinador principal, complementant la meva protecció antivirus principal.
