Lar Rever Cryptoprevent premium 8 revisão & classificação

Cryptoprevent premium 8 revisão & classificação

Índice:

Vídeo: CryptoPrevent Premium (Outubro 2024)

Vídeo: CryptoPrevent Premium (Outubro 2024)
Anonim

Não é segredo que o ransomware é um grande problema, e os produtos que visam proteger contra o ransomware estão se tornando cada vez mais populares. Muitas dessas ferramentas são respostas totalmente novas à ameaça, mas o CryptoPrevent Premium 8, da Foolish IT, luta contra o ransomware desde 2013, quando se volta para o CryptoLocker. No entanto, nos testes, mostrou-se muito mais complicado do que os produtos concorrentes específicos de ransomware e muito menos eficaz.

Como o RansomFree e o Malwarebytes Anti-Ransomware, o CryptoPrevent não foi projetado para ser usado no vácuo. Em vez disso, o objetivo é usá-lo juntamente com a proteção existente, para eliminar qualquer ransomware que ultrapasse seu antivírus comum. Isso faz todo o sentido. É sempre possível que qualquer tipo de malware escape temporariamente à proteção antivírus, mas eventualmente uma atualização antivírus o elimina. No entanto, mesmo que o antivírus apague o ransomware ex post facto, ele não poderá descriptografar seus arquivos.

Em 2013, o CryptoLocker surgiu como a primeira ameaça de ransomware de grandes novidades. Os desenvolvedores da Foolish IT originalmente criaram o CryptoPrevent para combater essa ameaça cibernética específica, e imagino que ele tenha feito um bom trabalho, naquela época. No entanto, o ransomware continua evoluindo e o próprio CryptoLocker caiu no esquecimento. Como explicarei, os testes indicam que o CryptoPrevent não acompanhou essa evolução.

Configurando CryptoPrevent

Comecei instalando a edição gratuita do produto. A diferença entre este utilitário e outras ferramentas específicas de ransomware ficou imediatamente evidente. Onde o Cybereason RansomFree e o Malwarebytes trabalham em segundo plano, com um mínimo de interação do usuário, a janela principal do CryptoPrevent possui sete guias, cada uma repleta de configurações. O mais importante deles é a guia principal, denominada Aplicar proteção, que permite escolher um plano de proteção.

Na primeira inicialização, o plano de proteção é definido como Nenhum, o que significa que o programa está inativo. No nível Mínimo, promete bloquear o CryptoLocker e possivelmente outros malwares, mas não ameaças mais recentes. Quando definido como Padrão, oferece proteção contra uma variedade de ameaças de malware, mas ainda não necessariamente o mais novo ransomware. No nível Máximo, o mais alto disponível na edição gratuita, alerta que você precisará desativar a proteção ao instalar ou desinstalar o software; não faz promessas específicas sobre ransomware.

Clicar na guia Configurações de proteção revela uma janela com cinco sub-abas, algumas das quais possuem suas próprias sub-abas. Sim, é muito diferente da concorrência. A guia Políticas de restrição de software impede o lançamento de programas de áreas específicas do sistema que normalmente não incluem arquivos executáveis, como pastas temporárias. Observe que as diretivas de restrição de software são um recurso do Windows, gerenciado pelo CryptoPrevent.

Quando vi a guia FolderWatch, presumi que o CryptoPrevent impediria que programas não autorizados alterassem arquivos nas pastas protegidas, que incluem as pastas Área de trabalho e Documentos. O Panda Internet Security e o IObit impedem todo o acesso, mesmo acesso somente leitura, em pastas protegidas. Como meu contato na empresa explicou, não é assim que o CryptoPrevent rola. Em vez disso, ele verifica qualquer arquivo solto nessas áreas e coloca em quarentena aqueles que reconhece como malware.

Quando você escolhe e aplica um plano de proteção, o CryptoPrevent oferece a lista de permissões de programas existentes nas áreas protegidas. Isso faz sentido; caso contrário, você achará que está bloqueando programas legítimos.

O pagamento da assinatura de US $ 15 disponibiliza mais um plano de proteção, chamado Extreme. Assim como no nível Máximo, o programa recomenda desativar a proteção para instalar ou desinstalar programas, além de observar que isso pode interferir no software legítimo. No nível Extreme, o ícone de notificação Quick Launch, com seu menu enorme, fica disponível. Você não recebe as mesmas notificações na edição gratuita.

No nível Extreme, o recurso FolderWatch HoneyPot também se torna disponível. Esse recurso beta preenche locais típicos de ataques de ransomware com arquivos de isca. Mais sobre o honeypot mais tarde.

Testando CryptoPrevent

Como observado, comecei instalando a edição gratuita. Antes de perceber que o FolderWatch não pretendia impedir o acesso a arquivos por programas não autorizados, testei-o com um pequeno editor de texto e um simples criptografador de arquivos. Eu mesmo as escrevi, para que elas definitivamente não estejam em nenhuma lista de programas aprovados. Naturalmente, o CryptoPrevent não reagiu; não é isso que se pretende fazer.

Em seguida, isolei cuidadosamente a máquina virtual da rede e liberei meia dúzia de amostras de ransomware do mundo real, uma de cada vez. Para um exemplo, uma mensagem de erro do Windows relatava "O administrador do sistema bloqueou este programa". No entanto, quando eu rejeitei a mensagem, o ransomware tentou iniciar novamente e a mensagem reapareceu repetidamente ad nauseam, até que encerrei a sessão da máquina virtual e voltei a um estado limpo.

Outra amostra simplesmente falhou em funcionar, sem mensagem ou notificação. Mas o restante das amostras possuía completamente o sistema de teste, criptografando arquivos e exibindo mensagens ameaçadoras exigindo um resgate para recuperá-las. Claramente, a edição gratuita não oferece muita proteção. Confrontados com as mesmas amostras, Malwarebytes parou todos, e Ransomfree parou todos, exceto um. A proteção específica de ransomware no Acronis True Image 2017 New Generation também parou todos, exceto um.

Atualizei para a edição Premium, escolhi Proteção extrema e executei esses testes novamente. Os resultados foram os mesmos, com uma pequena diferença. Quando tentei a amostra de ransomware que misteriosamente falhou sob a proteção da edição gratuita, recebi uma notificação pop-up informando que as Políticas de Restrição do Sistema a bloquearam. Da mesma forma, a amostra que entrou em um loop com o CryptoPrevent agora gerou uma notificação pop-up a cada vez.

Também uso o simulador de ransomware do KnowBe4, RanSim, para testes, mas tomo seus resultados com um pouco de sal. Algumas empresas argumentam que seu ransomware simulado não é semelhante o suficiente ao ransomware real; portanto, seus sistemas de detecção baseados em comportamento o ignoram. O Ransomfree, por exemplo, não detecta nenhuma das simulações; Eu não trato isso como negativo. No entanto, o Malwarebytes Anti-Ransomware Beta detectou oito das 10 e a Acronis bloqueou ativamente nove das 10 simulações. Quanto ao CryptoPrevent, ele não reagiu ao ransomware simulado.

Proteção por Honeypot

Os pesquisadores de malware costumam usar honeypots - computadores conectados à Internet sem proteção de segurança - para coletar amostras de malware. O sistema de honeypot do CryptoPrevent coloca dezenas de arquivos "isca" em locais populares, como as pastas Área de trabalho e Documentos. Quando ativei esse recurso, recebi um aviso forte de que também era necessário ativar o ícone de notificação de Acesso Rápido e, se não o fizesse, o CryptoPrevent desligaria o sistema sem aviso sobre a detecção de ransomware. Eu já havia habilitado esse recurso, então não me preocupei.

A primeira coisa que notei ao ativar o honeypot foi que minha área de trabalho estava completamente cheia e cheia de ícones. O CryptoPrevent adicionou cerca de 80 arquivos à área de trabalho, à pasta Documentos e a outras áreas. (Sim, eu tenho o Windows configurado para exibir arquivos ocultos; não é?) Eu não estava nada satisfeito com o programa que usurpava minha área de trabalho, mas continuei com os testes.

Os resultados não foram animadores. Uma amostra prosseguiu sem interferência, criptografando todos os arquivos de isca e outros arquivos e exibindo desafiadoramente sua nota de resgate. Em dois casos, o CryptoPrevent detectou atividade de ransomware. Aconselhava desligar o sistema imediatamente e procurar ajuda especializada para lidar com a infestação. Mas em um desses dois casos, descobri que o ransomware havia criptografado todos (ou quase todos) os arquivos vulneráveis ​​antes da detecção. Por outro lado, o Ransomfree, o Malwarebytes e a Acronis encerram a atividade de ransomware antes que ela cause muitos danos. Em alguns casos, alguns arquivos acabam criptografados, mas apenas alguns.

Intrusivo e ineficaz

Eu recomendo fortemente complementar o seu antivírus comum com um utilitário especificamente destinado a detectar ransomware que o antivírus poderia perder. Mas eu não recomendo o CryptoPrevent Premium 8 para esse fim. Como suas próprias instruções admitem, ele pode interferir na operação normal do programa, e seus níveis mais altos de proteção devem ser desativados se você deseja instalar ou desinstalar programas. Nos testes, seu recurso de honeypot destruiu minha área de trabalho com mais ícones do que caberia. E mesmo no nível mais alto de proteção, não impediu a criptografia de algumas amostras de ransomware do mundo real.

Meu contato na Foolish IT ressalta que este produto tem como objetivo trabalhar com os antivírus existentes, não por si só. E a empresa recomenda manter um backup completo e atualizado como a melhor proteção. Mesmo assim, produtos concorrentes comprovadamente fazem o trabalho que o CryptoPrevent não faz.

Se você deseja complementar seu antivírus com proteção contra ransomware, deseja algo o mais discreto possível - e que faça o trabalho pretendido. O Cybereason RansomFree e o Malwarebytes Anti-Ransomware Beta se encaixam no perfil e são gratuitos. Na verdade, estou executando ambos no meu próprio computador principal, complementando minha principal proteção antivírus.

Cryptoprevent premium 8 revisão & classificação