Lar Rever Cryptodrop anti-ransomware revisão e avaliação

Cryptodrop anti-ransomware revisão e avaliação

Índice:

Vídeo: Kaspersky Anti-Ransomware | Free tool for everyone (Outubro 2024)

Vídeo: Kaspersky Anti-Ransomware | Free tool for everyone (Outubro 2024)
Anonim

Os codificadores nefastos que criam malware estão nele pelo dinheiro, de uma maneira ou de outra. Os mineradores de Bitcoin sequestram seus ciclos de CPU e GPU para enriquecer secretamente seus criadores. Os cavalos de Troia fingem ser programas úteis, mas roubam secretamente os dados do seu cartão de crédito. O ransomware é a opção mais direta por dinheiro. Ele criptografa seus arquivos importantes, tornando-os inúteis para você, e exige que você pague um resgate pela chave de descriptografia. Se o ransomware ultrapassar seu antivírus, você está com problemas. É por isso que faz sentido complementar seu antivírus comum com uma ferramenta específica para ransomware como o CryptoDrop Anti-Ransomware. Essa ferramenta detecta ransomware com base em seu comportamento e recupera todos os arquivos criptografados antes da detecção. Ele se sai bem nos testes, com algumas bobbles menores.

Por US $ 29, 99 por ano, você pode instalar o CryptoDrop em três PCs. Para um único PC, você pode optar por pagar US $ 2, 99 por mês ou US $ 19, 99 por ano. Também há uma edição gratuita, mas sua proteção cobre apenas a pasta Documentos e não possui a opção de recuperação. Observe que o Acronis Ransomware Protection, RansomFree, Malwarebytes e Trend Micro oferecem detecção baseada em comportamento sem nenhum custo; Trend Micro e Acronis também incluem recuperação de arquivos.

Inicialização e configurações

Como em muitos produtos similares, você precisa reiniciar após a instalação rápida e simples. O produto instala no modo livre inicialmente. Você pode clicar em um link para comprar o produto completo ou ativar usando sua conta CryptoDrop e uma chave de licença. Depois de instalar e ativar o produto, os indicadores de status para Detecção e recuperação exibem um círculo verde.

Fiquei um pouco desconcertado com um comportamento estranho relacionado a esses indicadores. Toda vez que eu abria a janela principal, esses indicadores inicialmente e visivelmente exibiam um aviso vermelho. Depois de um segundo, eles mudaram para verde. Não há mal nisso, mas parece desleixado.

Quando você clica no botão Opções, você obtém uma lista de locais protegidos. Inicialmente, incluem as pastas Documentos, Música, Imagens e Vídeo para cada conta de usuário, incluindo Todos os usuários e Público. Um bug conhecido (mas inofensivo) na edição atual faz com que a pasta Imagens apareça duas vezes. Eu recomendo fortemente adicionar a pasta da área de trabalho para cada conta e qualquer outra pasta pessoal usada para arquivos pessoais.

O CryptoDrop lida com a recuperação de arquivos, mantendo cópias dos arquivos das pastas protegidas em uma pasta protegida. Mas se você olhar para esta pasta do DropSafe, não verá nada - e também nenhum ransomware que possa estar presente. Usando tecnologia semelhante a um rootkit, o CryptoDrop torna seus arquivos de backup invisíveis para os aplicativos e para o sistema operacional.

Por padrão, o CryptoDrop reserva 2 GB para o DropSafe. Se esse espaço começar a ficar cheio, você receberá um aviso e uma opção para aumentar o tamanho. O Check Point ZoneAlarm Anti-Ransomware, Trend Micro e Acronis fornecem detecção de ransomware baseada em comportamento e recuperação de arquivos que não se limita a um conjunto específico de pastas.

Detecção de Ransomware

Para uma verificação rápida da sanidade, executei um programa ransomware falso e simplificado, que eu mesmo codifiquei. Tudo o que faz é encontrar todos os arquivos de texto na pasta Documentos e criptografá-los de forma reversível, invertendo todos os bits em cada byte, zeros a uns, zeros a uns.

Inicialmente, parecia que o CryptoDrop não funcionava. Olhando mais de perto, percebi que tinha apenas dois arquivos de texto na pasta Documentos. O CryptoDrop detecta "modificação de arquivo em massa" e a criptografia de apenas dois arquivos não foi registrada como modificação em massa. Quando tentei novamente com duas dúzias de arquivos de texto, o CryptoDrop pegou a atividade, interrompeu o programa e entrou no modo de bloqueio, tornando todos os arquivos temporariamente somente leitura. Também criou uma regra para sempre bloquear o programa de teste.

Com esse teste simples fora do caminho, verifiquei duas vezes o isolamento do sistema de teste da máquina virtual da rede física e comecei a lançar amostras de ransomware do mundo real. Em todos os casos, o CryptoDrop detectou a ameaça, a matou e mudou para o modo de bloqueio.

Ocasionalmente, encontro ferramentas de proteção de ransomware que podem ser frustradas se o ransomware for iniciado na inicialização, antes do utilitário anti-ransomware. O CyberSight RansomStopper falhou neste teste, assim como a proteção de ransomware no IObit Advanced SystemCare Ultimate. Quando configurei uma das amostras de ransomware para iniciar na inicialização e reiniciei, o CryptoDrop não teve problemas em se defender.

Recuperação de Ransomware

O CryptoDrop se saiu muito bem na detecção de ransomware. O componente de recuperação funcionou, na maioria das vezes, mas sua execução se mostrou um pouco desigual.

Como observado, o CryptoDrop mantém backups seguros de seus arquivos em uma pasta cujo conteúdo os outros aplicativos simplesmente não conseguem ver. Quando você clica em Recuperar arquivos, ele exibe uma lista de arquivos afetados pelo recente ataque de ransomware. A janela curta e larga de recuperação preencheu toda a largura (1.280 pixels) do meu sistema de teste, mas não era alta o suficiente para exibir uma dúzia de arquivos. Para cada arquivo, ele exibia o nome do caminho completo original, o nome do caminho para o backup protegido, um carimbo de data / hora e o processo que danificou o original. Por qualquer motivo, ele exibe os nomes dos caminhos de recuperação em todas as maiúsculas, tornando a exibição difícil de ler.

É importante revisar a lista de arquivos e selecionar apenas aqueles que você deseja recuperar. Eu descobri que, na maioria dos casos, essa lista incluía arquivos criados pelo ransomware; você não quer recuperá-los. Em vez de usar caixas de seleção para seleção, o CryptoDrop exige que você pressione Ctrl + clique em cada item que deseja recuperar.

Em cada caso, o processo de recuperação real aconteceu rapidamente e, tanto quanto eu pude perceber, recuperou corretamente todos os arquivos. Em alguns casos, porém, ele fez um pouco mais. Por exemplo, uma tentativa de recuperação resultou em quatro versões para cada arquivo. Além do documento recuperado corretamente e da versão criptografada restante, havia um arquivo com o mesmo nome sem extensão e outra cópia com a extensão.RECOVERED. Isso parecia um pouco confuso.

Em outro caso mais preocupante, o processo de ransomware permaneceu em execução depois que o CryptoDrop supostamente o suspendeu. Enquanto eu trabalhava no processo de recuperação, ele mudou a área de trabalho para uma nota de resgate e também exibiu sua demanda de resgate como um arquivo HTML. Para ser justo, ele não gerenciou nenhuma atividade adicional de criptografia, mas um arquivo suspenso não deveria estar em execução.

Ransomware de criptografia de disco

O ransomware de criptografia de arquivos é de longe o tipo mais comum, mas existem algumas ameaças por aí que criptografam a unidade whle, o que significa que seu computador é um tijolo até você pagar o resgate. O notório Petya ransomware falsifica uma falha no sistema seguida de uma verificação de disco na inicialização, mas o que realmente faz é criptografar sua unidade enquanto finge verificá-la.

Como a maioria dos utilitários de proteção de ransomware, o CryptoDrop se concentra nos criptografadores de arquivos, não no tipo de criptografia de disco inteiro. Não fez nada para parar minha amostra de Petya. Os únicos produtos que vi com sucesso impedir o ataque da Petya são Acronis, RansomStopper e Sophos Home Premium.

Outras técnicas

Embora a detecção baseada em comportamento seja o recurso mais comum nos utilitários de proteção de ransomware, não é a única técnica que pode ajudar. O Bitdefender Antivirus Plus, o Trend Micro RansomBuster e alguns outros proíbem a modificação de arquivos protegidos por programas não autorizados. Se você receber um aviso pop-up no momento em que estiver lançando, digamos, um novo programa de edição de imagens, basta clicar para incluí-lo na lista de permissões. Se o aviso for uma surpresa, bloqueie a atividade.

O Panda Internet Security e o IObit Advanced SystemCare Ultimate estão entre os poucos que também impedem que programas não autorizados leiam seus arquivos protegidos. Isso significa que eles também podem impedir Trojans que roubam dados.

Um empresário de ransomware de sucesso precisa garantir que os "clientes" que pagam o resgate possam recuperar seus arquivos. Isso significa que eles devem evitar criptografar o mesmo sistema duas vezes, o que significa que precisam marcar os sistemas infectados de alguma forma. O Bitdefender Anti-Ransomware gratuito usa esse fato para "vacinar" PCs contra ataques de ransomware conhecidos e muito específicos. Simplesmente engana o invasor a pensar que ele já causou estragos.

A detecção baseada em comportamento tem uma potencial fraqueza. O ransomware pode criptografar pelo menos alguns arquivos antes que o algoritmo comportamental entre em ação para interrompê-lo. O Malwarebytes e o Cybereason RansomFree gratuitos perderam alguns arquivos nos testes. Isso ainda é melhor do que perder todos os seus arquivos, mas um sistema de recuperação de arquivos é ainda melhor. Nos testes, o ZoneAlarm fez um trabalho perfeito de recuperação. Seu único erro foi um caso em que a recuperação foi bem-sucedida, mas relatou falha.

Um recém-chegado interessante

CryptoDrop é uma empresa relativamente nova, fundada em tecnologia criada por professores de Ciência da Computação da Universidade da Flórida. Possui algumas arestas, como a apresentação desajeitada de arquivos para recuperação e a multiplicação ocasional de arquivos recuperados. Nos testes, ele bloqueou o ransomware do mundo real e o ransomware simulado, embora um programa de ransomware permanecesse em execução após o CryptoDrop ter relatado a supressão. Estou ansioso para uma versão futura com um pouco mais de polimento.

A opção de nossos editores para proteção de ransomware é o Check Point ZoneAlarm Anti-Ransomware. A US $ 2, 99 por mês para três licenças, seu preço não é muito diferente do CryptoDrop. Nos testes, ele detectou todas as amostras de ransomware e restaurou de maneira limpa todos os arquivos criptografados pelo ransomware. Se mesmo esse preço baixo for muito alto, o Acronis Ransomware Protection gratuito combina detecção baseada em comportamento com um backup em nuvem criptografado de seus arquivos confidenciais.

Cryptodrop anti-ransomware revisão e avaliação