Преглед и рейтинг на Cryptodrop anti-ransomware

Злобните кодери, които създават зловреден софтуер, са в него за парите, по един или друг начин. Биткойн миньорите отвличат вашите цикли на процесора и GPU, за да обогатят тайно своите създатели. Троянците се преструват на полезни програми, но тайно крадат данните на кредитната ви карта. Ransomware е най-директното вземане на пари. Той криптира вашите важни файлове, като ги прави безполезни за вас и изисква да платите откуп за ключа за декриптиране. Ако износният софтуер се изплъзне покрай вашия антивирус, вие сте в затруднение. Ето защо има смисъл да допълвате обикновения си антивирус със специфичен за ransomware инструмент като CryptoDrop Anti-Ransomware. Този инструмент открива софтуер за откупуване въз основа на неговото поведение и възстановява всички криптирани файлове преди откриването. Добре се справя с тестването, с някои дребни бобове.

За $ 29, 99 на година можете да инсталирате CryptoDrop на три компютъра. За един компютър можете да изберете 2, 99 долара на месец или 19, 99 долара годишно. Има и безплатно издание, но защитата му обхваща само папката „Документи“ и липсва опцията за възстановяване. Обърнете внимание, че Acronis Ransomware Protection, RansomFree, Malwarebytes и Trend Micro предлагат откриване на базата на поведение без никакви разходи; Trend Micro и Acronis също включват възстановяване на файлове.

Стартиране и настройки

Както при много подобни продукти, и вие трябва да рестартирате след бързата, проста инсталация. Продуктът се инсталира първоначално в безплатен режим. Можете да щракнете върху връзка, за да купите пълния продукт, или да активирате, използвайки вашия CryptoDrop акаунт и лицензионен ключ. След като инсталирате и активирате продукта, индикаторите за състояние за откриване и възстановяване показват зелен кръг.

Бях малко възмутен от едно странно поведение, свързано с тези показатели. Всеки път, когато отварях главния прозорец, тези индикатори първоначално и видимо показваха предупредително червено. След секунда те се смениха на зелено. Няма нищо лошо в това, но се чувства помия.

Когато щракнете върху бутона Опции, получавате списък със защитени местоположения. Първоначално те включват папки Документи, Музика, Картини и Видео за всеки потребителски акаунт, включително Всички потребители и Обществени. Известна (но безобидна) грешка в текущото издание папката Pictures се появява два пъти. Силно препоръчвам да добавите папката Desktop за всеки акаунт и всяка друга лична папка, която използвате за лични файлове.

CryptoDrop обработва възстановяването на файлове, като съхранява копия на файлове от вашите защитени папки в втвърдена папка. Но ако погледнете тази папка DropSafe, няма да видите нищо - нито ще има наличен софтуер за откуп. Използвайки подобна на rootkit технология, CryptoDrop прави своите архивни файлове невидими за приложенията и операционната система.

По подразбиране CryptoDrop запазва 2GB за DropSafe. Ако това пространство започне да се запълва, получавате предупреждение и опция за увеличаване на размера. Check Point ZoneAlarm Anti-Ransomware, Trend Micro и Acronis предоставят въз основа на поведение откриване на откупи и софтуер за възстановяване на файлове, което не е ограничено до конкретен набор от папки.

Откриване на Ransomware

За бърза проверка на здравословния разум пуснах една простомислеща фалшива програма за откупуване, която сам кодирах. Всичко, което го прави, намира всички текстови файлове в папката „Документи“ и ги криптира обратимо, като прелиства всички битове във всеки байт, нули към такива, тези до нули.

Първоначално изглеждаше, че CryptoDrop не работи. Погледнах по-отблизо, разбрах, че имам само два текстови файла в папката „Документи“. CryptoDrop открива „групова модификация на файловете“ и криптирането само на два файла не се регистрира като групова модификация. Когато опитах отново с две дузини текстови файлове, CryptoDrop започна активността, спря програмата и влезе в режим Lockdown, правейки временно всички файлове само за четене. Освен това създаде правило за винаги блокиране на тестовата програма.

С този прост тест извън пътя, проверих два пъти изолацията на системата за тестване на виртуалната машина от физическата мрежа и започнах да пускам реални проби за извличане на софтуер. Във всеки случай CryptoDrop открива заплахата, убива я и премина в режим Lockdown.

Понякога се сблъсквам с инструменти за защита от защитен софтуер, които могат да бъдат прекъснати, ако ransomware стартира при стартиране, преди анти-ransomware помощната програма. CyberSight RansomStopper се провали в този тест, както и защитата от отвличане в най-новия IObit Advanced SystemCare Ultimate. Когато зададох една от пробите от рансъмуер да се стартира при стартиране и рестартирах, CryptoDrop нямаше проблеми да се защити срещу нея.

Ransomware Recovery

CryptoDrop се справи много добре при откриване на софтуер за извличане. Компонентът за възстановяване работеше в по-голямата си част, но изпълнението му се оказа малко неравномерно.

Както бе отбелязано, CryptoDrop поддържа сигурни архиви на вашите файлове в папка, чието съдържание другите приложения просто не могат да се видят. Когато щракнете върху Възстанови файлове, той показва списък с файлове, засегнати от неотдавнашната атака за извличане на софтуер. Краткият, широк прозорец за възстановяване изпълни цялата ширина (1280 пиксела) на моята тестова система, но не беше достатъчно висока, за да покаже дузина файлове. За всеки файл той показва оригиналното пълно име на пътя, името на пътя за защитеното архивиране, печат за дата / час и процеса, който е повредил оригинала. По каквато и да е причина, той показва имената на пътищата за възстановяване във всички главни букви, като прави трудно четим дисплей.

Важно е да прегледате списъка с файлове и да изберете само онези, които искате да възстановите. Установих, че в повечето случаи този списък включва файлове, създадени от ransomware; не искате да ги възстановите. Вместо да използвате квадратчета за избор, CryptoDrop изисква да Ctrl + щракнете върху всеки елемент, който искате да възстановите.

Във всеки случай действителният процес на възстановяване се случи бързо и доколкото разбрах, правилно възстанових всички файлове. В някои случаи обаче се получи доста повече. Например един опит за възстановяване доведе до четири версии за всеки файл. В допълнение към правилно възстановения документ и зашитата версия, останала, имаше едноименен файл без разширение на файла и друго копие с разширението. Това изглеждаше малко объркано.

В друг, по-притеснителен случай, процесът на извличане на софтуер продължи да тече, след като CryptoDrop уж го спря. Докато работех върху процеса на възстановяване, той промени работния плот в бележка за откуп и също така показа искането си за откуп като HTML файл. За да бъдем справедливи, той не управляваше никаква по-нататъшна дейност по криптиране, но спрян файл изобщо не трябва да работи.

Дисково криптиране на диск

Изкупуващият файл за криптиране на файлове е най-често срещаният тип, но има няколко заплахи, които криптират устройството за whle, което означава, че компютърът ви е тухла, докато не платите откупа. Прословутият изкупващ софтуер на Петя фалшифицира системна катастрофа, последвана от проверка на диска при стартиране, но това, което наистина прави, е криптиране на вашия диск, като се преструва, че го проверявате.

Подобно на повечето помощни програми за защита от защита, CryptoDrop се фокусира върху файлови шифри, а не върху целия тип дисково криптиране. Това не направи нищо, за да спре моята проба на Петя. Единствените продукти, които видях успешно да предотвратяват атаката от страна на Петя, са Acronis, RansomStopper и Sophos Home Premium.

Други техники

Въпреки че откриването на базата на поведение е най-честата характеристика в помощните програми за защита от компютър, това не е единствената техника, която може да помогне. Bitdefender Antivirus Plus, Trend Micro RansomBuster и няколко други забраняват модифицирането на защитените файлове от неоторизирани програми. Ако получите изскачащо предупреждение точно когато стартирате, да речем, нова програма за редактиране на изображения, просто щракнете, за да я включите в бял списък. Ако предупреждението дойде като изненада, блокирайте дейността.

Panda Internet Security и IObit Advanced SystemCare Ultimate са сред малкото, които също блокират неоторизирани програми да четат вашите защитени файлове. Това означава, че и те могат да осуети трояните за кражба на данни.

Един успешен предприемач за откуп трябва да гарантира, че "клиентите", които плащат откуп, могат да получат своите файлове обратно. Това означава, че те трябва да избягват криптирането на една и съща система два пъти, което означава, че трябва да маркират заразените системи по някакъв начин. Безплатният Bitdefender Anti-Ransomware използва този факт, за да "ваксинира" персонални компютри срещу много специфични, известни атаки за откуп. Той просто заблуждава нападателя да мисли, че вече е причинил поразия.

Откриването, основано на поведение, има една потенциална слабост. Изтеглящият софтуер може да криптира поне няколко файла, преди алгоритъма на поведение да започне, за да го спре. Безплатните Malwarebytes и Cybereason RansomFree загубиха няколко файла при тестване. Това все още е по-добре, отколкото да загубите всичките си файлове, но системата за възстановяване на файлове е още по-добра. При тестването ZoneAlarm се справи перфектно с възстановяването. Единствената грешка беше един случай, при който възстановяването успя, но отчете неуспех.

Интересен новодошъл

CryptoDrop е сравнително нова компания, основана на технология, създадена от преподаватели по компютърни науки в университета във Флорида. Той има няколко груби ръба, като неудобното му представяне на файлове за възстановяване и случайно умножение на възстановените файлове. При тестването той блокира както реалния софтуер, така и симулирания ransomware, въпреки че една програма за извличане на софтуер продължава да работи, след като CryptoDrop съобщи, че е потиснат. Очаквам с нетърпение бъдеща версия с малко повече лак.

Изборът на нашите редактори за защита от компютърна защита е Check Point ZoneAlarm Anti-Ransomware. При $ 2, 99 на месец за три лиценза цената му не се различава много от тази на CryptoDrop. При тестване той откри всички образци на рансъмуер и чисто възстанови всички файлове, които ransomware са шифровали. Ако дори тази ниска цена е прекалено голяма, безплатната Acronis Ransomware Protection съчетава откриване на базата на поведение с криптирана облачна резервна копия на вашите чувствителни файлове.