Innehållsförteckning:
Video: CryptoPrevent Premium (Oktober 2024)
Det är ingen hemlighet att ransomware är ett stort problem, och produkter som syftar till att skydda mot ransomware blir mer och mer populära. Många sådana verktyg är helt nya svar på hotet, men CryptoPrevent Premium 8, från Foolish IT, har kämpat ransomware sedan 2013, då det satte syn på CryptoLocker. Vid testning visade det sig emellertid mycket mer komplicerat än konkurrerande ransomware-specifika produkter och mycket mindre effektivt.
Liksom RansomFree och Malwarebytes Anti-Ransomware är CryptoPrevent inte designad för att användas i vakuum. Snarare är det att använda det tillsammans med ditt befintliga skydd, att utplåna alla ransomware som glider förbi ditt vanliga antivirus. Det är perfekt. Det är alltid möjligt att skadlig programvara av något slag tillfälligt kan undanröja antivirusskydd, men så småningom en antivirusuppdatering torkar ut det. Men även om antiviruset torkar ransomware ex post facto, kan det inte dekryptera dina filer.
2013 framträdde CryptoLocker som det första stora nyhetshotet för ransomware. Utvecklarna på Foolish IT tänkte ursprungligen CryptoPrevent för att bekämpa det specifika cyberhotet, och jag föreställer mig att det gjorde ett bra jobb, redan på dagen. Ransomware fortsätter dock att utvecklas, och CryptoLocker själv har fallit vid vägen. Som jag förklarar, indikerar tester att CryptoPrevent inte har höll jämna steg med den utvecklingen.
Konfigurera CryptoPrevent
Jag började med att installera produktens gratisversion. Skillnaden mellan detta verktyg och andra ransomware-specifika verktyg var omedelbart tydlig. Där Cybereason RansomFree och Malwarebytes arbetar i bakgrunden, med bara ett minimum av användarinteraktion, spelar CryptoPrevents huvudfönster sju flikar, var och en som spränger av inställningar. Det viktigaste av dessa är huvudfliken, märkt Apply Protection, som låter dig välja en skyddsplan.
Vid första lanseringen är skyddsplanen inställd på Ingen, vilket betyder att programmet är inaktivt. På Minimal nivå lovar det att blockera CryptoLocker och eventuellt annat skadligt program, men inte nyare hot. När den är inställd på Standard erbjuder det skydd mot en rad hot mot skadlig programvara, men fortfarande inte nödvändigtvis den senaste ransomware. På den högsta nivån, den högsta tillgängliga i gratisutgåvan, varnar den att du måste inaktivera skyddet när du installerar eller avinstallerar programvara; det ger inga specifika löften om ransomware.
Om du klickar på fliken Skyddsinställningar visas ett fönster med fem underflikar, av vilka vissa har sina egna underflikar. Ja, det skiljer sig mycket från tävlingen. Fliken Software Restriction Policies förhindrar programstarter från specifika systemområden som normalt inte innehåller körbara filer, till exempel temporära mappar. Observera att programvara för begränsning av programvara är en Windows-funktion som hanteras av CryptoPrevent.
När jag såg fliken FolderWatch antog jag först att CryptoPrevent skulle förhindra att obehöriga program ändrar filer i de skyddade mapparna, som inkluderar mapparna Desktop och Documents. Panda Internet Security och IObit förhindrar all åtkomst, även skrivskyddad åtkomst, i skyddade mappar. Som min kontakt på företaget förklarade, det är inte så CryptoPrevent rullar. Snarare skannar den alla filer som tappas i dessa områden och karantäner dem som den känner igen som skadlig programvara.
När du väljer och tillämpar en skyddsplan erbjuder CryptoPrevent att vitlista befintliga program i de skyddade områdena. Det känns logiskt; annars skulle du finna att det blockerar legitima program.
Att betala 15 $ -abonnemanget gör ytterligare en skyddsplan tillgänglig, kallad Extreme. Liksom med Maximum-nivån, rekommenderar programmet att du stänger av skyddet för att installera eller avinstallera program och noterar vidare att det kan störa legitim programvara. På extrema nivå blir ikonen för snabbstartavisering med dess massiva meny tillgänglig. Du får inte samma aviseringar i gratisutgåvan.
På extremnivå blir funktionen FolderWatch HoneyPot också tillgänglig. Denna betafunktion fyller upp typiska attackerplatser för ransomware med betfiler. Mer om honeypot senare.
Testa CryptoPrevent
Som nämnts började jag med att installera gratisutgåvan. Innan jag insåg att FolderWatch inte syftade till att förhindra filåtkomst av obehöriga program testade jag det med en liten textredigerare och en enkel filkrypterare. Jag skrev dessa själv, så de är definitivt inte på någon godkänd programlista. Naturligtvis reagerade CryptoPrevent inte; det är inte vad det är tänkt att göra.
Därefter isolerade jag noggrant den virtuella maskinen från nätverket och släppte ett halvt dussin prover från ransomware i verkligheten, åt gången. För ett prov rapporterade ett Windows-felmeddelande "Din systemadministratör har blockerat det här programmet." Men när jag avfärdade meddelandet försökte ransomware att starta igen och meddelandet kom igen, om och om igen, ad nauseam, tills jag slutade den virtuella maskinsessionen och gick tillbaka till ett rent tillstånd.
Ett annat exempel kunde helt enkelt inte fungera utan meddelande eller anmälan. Men resten av proverna ägde testsystemet fullständigt, krypterade filer och visade hotmeddelanden som krävde en lösning för att få dem tillbaka. Det är uppenbart att gratisversionen inte erbjuder mycket skydd. Konfronterade med samma prover stoppade Malwarebytes dem alla, och Ransomfree stoppade alla utom en. Det ransomware-specifika skyddet i Acronis True Image 2017 New Generation stoppade också alla utom en.
Jag uppgraderade till Premium-upplagan, valde extremt skydd och körde dessa test igen. Resultaten var desamma, med en mindre skillnad. När jag provade det ransomware-provet som på mystiskt sätt misslyckades under gratisversionens skydd, fick jag ett popup-meddelande som rapporterade att systemrestriktionspolicies blockerade det. Likaså genererade exemplet som kom in i en slinga med CryptoPrevent nu ett popup-meddelande varje gång.
Jag använder KnowBe4s RanSim ransomware-simulator för testning också, men jag tar resultaten med ett saltkorn. Vissa företag hävdar att dess simulerade ransomware inte är tillräckligt lik den faktiska ransomware, så deras beteendebaserade detekteringssystem ignorerar det. Ransomfree, till exempel, upptäcker inte någon av simuleringarna; Jag behandlar det inte som ett negativt. Men Malwarebytes Anti-Ransomware Beta upptäckte åtta av de 10, och Acronis blockerade aktivt nio av de 10 simuleringarna. När det gäller CryptoPrevent, reagerade det inte alls på den simulerade ransomware.
Skydd med Honeypot
Malware-forskare använder ofta honeypots - Internet-anslutna datorer utan säkerhetsskydd - för att fånga skadliga prover. CryptoPrevents honeypotsystem sätter dussintals "agn" -filer på populära platser, till exempel skrivbords- och dokumentmappar. När jag aktiverade den här funktionen fick jag en stark varning om att jag också måste aktivera meddelandesymbolen för snabb åtkomst, och att om jag inte gjorde det skulle CryptoPrevent stänga av systemet utan varning för att upptäcka ransomware. Jag hade redan aktiverat den funktionen, så jag hade inga bekymmer.
Det första jag märkte när jag aktiverade honeypot var att mitt skrivbord helt fylldes och överfylld av ikoner. CryptoPrevent har lagt till cirka 80 filer på skrivbordet, mappen Dokument och andra områden. (Ja, jag har Windows inställt på att visa dolda filer; gör du inte?) Jag var inte alls nöjd med att programmet använde mitt skrivbord, men fortsatte med att testa.
Resultaten var inte uppmuntrande. Ett prov fortsatte utan störningar, krypterade alla betfiler och andra filer och visade trassigt sitt lösenord. I två fall upptäckte CryptoPrevent ransomware-aktivitet. Det rådde omedelbart att stänga av systemet och söka experthjälp för att hantera angreppen. Men i ett av dessa två fall fann jag att ransomware hade krypterat alla (eller nästan alla) sårbara filer innan detektering. Däremot stänger Ransomfree, Malwarebytes och Acronis alla ransomware-aktiviteterna innan det kunde göra mycket skada. I vissa fall avslutas några krypterade krypterade, men bara några.
Påträngande och ineffektiv
Jag rekommenderar starkt att du kompletterar ditt vanliga antivirusprogram med ett verktyg som specifikt syftar till att upptäcka ransomware som antiviruset kan missa. Men jag rekommenderar inte CryptoPrevent Premium 8 för det ändamålet. Som dess egna instruktioner medger kan det störa den normala programdriften och dess högre skyddsnivåer måste stängas av om du vill installera eller avinstallera program. När jag testade, sönder sin honeypot-funktion mitt skrivbord med fler ikoner än till och med skulle passa. Och till och med vid den högsta skyddsnivån förhindrade det inte kryptering med några verkliga ransomware-prover.
Min kontakt på Foolish IT påpekar att denna produkt syftar till att arbeta tillsammans med befintligt antivirus, inte på egen hand. Och företaget rekommenderar starkt att hålla en fullständig och uppdaterad säkerhetskopia som det bästa skyddet. Trots det gör konkurrerande produkter påtagligt jobbet som CryptoPrevent inte gör.
Om du ska komplettera ditt antivirus med ransomware-skydd vill du ha något som är så diskret som möjligt - och det gör det avsedda jobbet. Cybereason RansomFree och Malwarebytes Anti-Ransomware Beta passar båda till profilen och de är gratis. I själva verket kör jag båda på min egen huvuddator och kompletterar mitt huvudsakliga antivirusskydd.
