Cryptoprevent premium 8 преглед и оценка

Не е тайна, че ransomware е голям проблем, а продуктите, които имат за цел да се защитят срещу ransomware, стават все по-популярни. Много от тези инструменти са съвсем нови отговори на заплахата, но CryptoPrevent Premium 8, от Foolish IT, се бори с софтуер за откупуване от 2013 г., когато определи гледката си на CryptoLocker. Въпреки това, при тестване, той се оказа много по-сложен от конкуренцията на продукти, специфични за ransomware, и значително по-малко ефективен.

Подобно на RansomFree и Malwarebytes Anti-Ransomware, CryptoPrevent не е проектиран да се използва във вакуум. По-скоро смисълът е да го използвате заедно със съществуващата ви защита, за да изтриете всеки софтуер за извличане, който минава покрай обичайния ви антивирус. Това има идеален смисъл. Винаги е възможно злонамерен софтуер от какъвто и да е вид временно да избегне антивирусната защита, но в крайна сметка антивирусната актуализация я заличава. Въпреки това, дори ако антивирусът изтрие ransomware ex post facto, той не може да дешифрира вашите файлове.

През 2013 г. CryptoLocker се очертава като първата заплаха за нови новини за големи новини. Разработчиците на Foolish IT първоначално създадоха CryptoPrevent да се преборят с тази конкретна кибер заплаха, и аз си представям, че свърши добра работа, още през деня. Въпреки това, ransomware продължава да се развива, а самият CryptoLocker падна край пътя. Както ще обясня, тестването показва, че CryptoPrevent не е бил в крак с тази еволюция.

Конфигуриране на CryptoPrevent

Започнах с инсталирането на безплатното издание на продукта. Разликата между тази помощна програма и другите специфични инструменти за извличане на софтуер бе очевидна веднага. Там, където Cybereason RansomFree и Malwarebytes работят на заден план, с гол минимум от потребителско взаимодействие, основният прозорец на CryptoPrevent има седем раздела, всеки от които се зарежда с настройки. Най-важният от тях е главният раздел, обозначен с Apply Protection, който ви позволява да изберете план за защита.

При първото стартиране планът за защита е зададен на None, което означава, че програмата е неактивна. На минимално ниво обещава да блокира CryptoLocker и евентуално други зловредни програми, но не и по-нови заплахи. Когато е зададено по подразбиране, той предлага защита срещу редица заплахи за злонамерен софтуер, но все пак не е задължително най-новия откъм софтуер. На максимално ниво, най-високото налично в безплатното издание, той предупреждава, че ще трябва да деактивирате защитата при инсталиране или деинсталиране на софтуер; тя не дава конкретни обещания относно ransomware.

Щракването върху раздела Настройки за защита разкрива прозорец с пет подраздела, някои от които имат свои подразделения. Да, много се различава от конкуренцията. Разделът „Софтуерни ограничения на софтуера“ предотвратява стартирането на програмата от специфични системни области, които обикновено не включват изпълними файлове, като например временни папки. Обърнете внимание, че софтуерните ограничения за софтуер е функция на Windows, управлявана от CryptoPrevent.

Когато видях раздела FolderWatch, първо предположих, че CryptoPrevent ще предотврати неразрешени програми да променят файлове в защитените папки, които включват папките Desktop и Documents. Panda Internet Security и IObit предотвратяват всеки достъп, дори достъп само за четене, в защитени папки. Както обясни моят контакт във фирмата, така не се търкаля CryptoPrevent. По-скоро сканира всеки файл, попаднал в тези области, и карантира онези, които разпознава като зловреден софтуер.

Когато изберете и приложите план за защита, CryptoPrevent предлага в белия списък на съществуващите програми в защитените зони. Това има смисъл; в противен случай ще откриете, че блокира законни програми.

Изплащането на абонамента за 15 долара прави още един план за защита, наречен Extreme. Както при максималното ниво, програмата препоръчва изключване на защита за инсталиране или деинсталиране на програми и допълнително отбелязва, че може да пречи на законния софтуер. На ниво Extreme, иконата за бързо стартиране с масивното си меню става достъпна. Не получавате същите известия в безплатното издание.

На ниво Extreme, функцията FolderWatch HoneyPot също става достъпна. Тази бета функция запълва типични местоположения за атака на откупи с файлове за примамка. Повече за меденката по-късно.

Тестване на CryptoPrevent

Както бе отбелязано, започнах с инсталирането на безплатното издание. Преди да разбера, че FolderWatch не се стреми да предотврати достъпа до файлове от неоторизирани програми, тествах го с малък текстов редактор и обикновен файлов шифровчик. Аз самият ги написах, така че определено не са в нито един списък с одобрени програми. Естествено CryptoPrevent не реагира; това не е това, което е предназначено да се направи.

По-нататък внимателно изолирах виртуалната машина от мрежата и пуснах половин дузина реални извадкови проби, една по една. За една проба съобщение за грешка в Windows съобщава, че "Вашият системен администратор е блокирал тази програма." Въпреки това, когато отхвърлих съобщението, ransomware се опита отново да стартира и съобщението се появи отново, отново и отново, рекламно гадене, докато прекратя сесията на виртуалната машина и се върна в чисто състояние.

Друга проба просто не функционира, без съобщение или известие. Останалите проби обаче изцяло притежаваха тестовата система, криптирайки файлове и показвайки заплашителни съобщения, изискващи откуп за връщането им. Ясно е, че безплатното издание не предлага много защита. Изправени пред същите проби, Malwarebytes ги спря всички, а Ransomfree спря всички освен една. Специфичната за ransomware защита в Acronis True Image 2017 New Generation също спря всички освен една.

Надградих до Premium Edition, избрах Extreme protection и проведох отново тези тестове. Резултатите бяха същите, с една малка разлика. Когато пробвах извадката за извличане на софтуер, която мистериозно се провали под защитата на безплатното издание, получих изскачащо известие, което съобщава, че системните ограничения на системата го блокират. По същия начин, пробата, която влезе в цикъл с CryptoPrevent, сега генерира изскачащо известие всеки път.

За тестване използвам и симулатора за рансъмуер на RanSim на KnowBe4, но резултатите му приемам със зърно сол. Някои компании твърдят, че неговият симулиран отпечатъчен софтуер не е достатъчно подобен на реалния софтуер, така че техните системи за откриване, базирани на поведение, го игнорират. Ransomfree, например, не открива нито една от симулациите; Не приемам това като отрицателно. Въпреки това Malwarebytes Anti-Ransomware Beta откри осем от 10-те, а Acronis активно блокира девет от 10-те симулации. Що се отнася до CryptoPrevent, той изобщо не реагира на симулирания откъм софтуер.

Защита от Honeypot

Изследователите на зловреден софтуер често използват медени саксии - свързани към мрежата компютри без защита за защита - за улавяне на проби от зловреден софтуер. Медовата система на CryptoPrevent поставя десетки файлове за „примамка“ на популярни места, като папките Desktop и Documents. Когато активирах тази функция, получих категорично предупреждение, че трябва също да активирам иконата за известие за бърз достъп и че ако не го направя, CryptoPrevent ще изключи системата без предупреждение за откриване на ransomware. Вече бях активирал тази функция, така че нямах никакви притеснения.

Първото нещо, което забелязах при включването на меденката, беше, че работният ми плот е абсолютно запълнен и препълнен с икони. CryptoPrevent добави около 80 файла към работния плот, папката „Документи“ и други области. (Да, имам Windows, настроен да показва скрити файлове; нали?) Изобщо не бях доволен от програмата, узурпираща моя работен плот, но пристъпих към тестване.

Резултатите не бяха окуражаващи. Една проба продължи без намеса, криптира всички файлове за стръв и други файлове и предизвикателно показва бележката си за откуп. В два случая CryptoPrevent открива дейност за извличане на софтуер. Той съветва незабавно да се изключи системата и да се потърси експертна помощ за справяне с заразата. Но в един от тези два случая открих, че ransomware е шифровал всички (или почти всички) уязвими файлове преди откриването. За разлика от тях, Ransomfree, Malwarebytes и Acronis изключват дейностите за извличане на софтуер, преди да може да нанесе много вреда. В някои случаи няколко файла се завъртяха криптирани, но само няколко.

Натрапчиви и неефективни

Горещо препоръчвам да допълвате обикновения си антивирус с помощна програма, насочена специално към откриване на софтуер за откупуване, който антивирусът може да пропусне. Но не препоръчвам CryptoPrevent Premium 8 за тази цел. Както признават собствените му инструкции, тя може да попречи на нормалната работа на програмата и по-високите й нива на защита трябва да бъдат изключени, ако искате да инсталирате или деинсталирате програми. При тестването му функцията за меденки изхвърли работния ми плот с повече икони, отколкото дори може да се побере. И дори при най-високо ниво на защита, това не попречи на криптирането от някои реални образци за извличане на софтуер.

Моят контакт във Foolish IT подчертава, че този продукт има за цел да работи заедно със съществуващия антивирус, а не сам по себе си. А компанията силно препоръчва да се поддържа пълна и актуална резервна копия като най-добрата защита. Въпреки това конкурентните продукти демонстративно вършат работата, която CryptoPrevent не върши.

Ако смятате да допълвате антивируса си със защита срещу извличане на софтуер, искате нещо, което е възможно най-ненатрапчиво - и това върши предвидената работа. Cybereason RansomFree и Malwarebytes Anti-Ransomware Beta както отговарят на профила, така и са безплатни. Всъщност аз изпълнявам и двете си на моя основен компютър, допълвайки основната ми антивирусна защита.