Recensione e valutazione anti-ransomware di Cryptodrop

I nefasti programmatori che creano malware sono in esso per soldi, in un modo o nell'altro. I minatori di Bitcoin dirottano i cicli di CPU e GPU per arricchire segretamente i loro creatori. I trojan fingono di essere programmi utili, ma rubano segretamente i dati della tua carta di credito. Il ransomware è la presa più diretta per soldi. Crittografa i tuoi file importanti, rendendoli inutili per te e ti chiede di pagare un riscatto per la chiave di decrittazione. Se il ransomware supera il tuo antivirus, sei nei guai. Ecco perché ha senso integrare il tuo normale antivirus con uno strumento specifico per il ransomware come CryptoDrop Anti-Ransomware. Questo strumento rileva entrambi i ransomware in base al suo comportamento e recupera tutti i file crittografati prima del rilevamento. Si comporta bene nei test, con alcune bobine minori.

Per $ 29, 99 all'anno, puoi installare CryptoDrop su tre PC. Per un singolo PC, puoi scegliere di pagare $ 2, 99 al mese o $ 19, 99 all'anno. C'è anche un'edizione gratuita, ma la sua protezione copre solo la cartella Documenti e manca l'opzione di recupero. Si noti che Acronis Ransomware Protection, RansomFree, Malwarebytes e Trend Micro offrono gratuitamente il rilevamento basato sul comportamento; Trend Micro e Acronis includono anche il recupero dei file.

Avvio e impostazioni

Come con molti prodotti simili, è necessario riavviare dopo l'installazione rapida e semplice. Il prodotto si installa inizialmente in modalità gratuita. È possibile fare clic su un collegamento per acquistare il prodotto completo o attivare utilizzando l'account CryptoDrop e una chiave di licenza. Dopo aver installato e attivato il prodotto, gli indicatori di stato per il rilevamento e il ripristino mostrano entrambi un cerchio verde.

Sono stato un po 'scoraggiato da uno strano comportamento relativo a quegli indicatori. Ogni volta che ho aperto la finestra principale, quegli indicatori inizialmente e visibilmente hanno mostrato un rosso di avvertimento. Dopo un secondo, sono diventati verdi. Non c'è nulla di male in questo, ma sembra sciatto.

Quando si fa clic sul pulsante Opzioni, viene visualizzato un elenco di posizioni protette. Inizialmente questi includono le cartelle Documenti, Musica, Immagini e Video per ogni account utente, inclusi Tutti gli utenti e Pubblico. Un bug noto (ma innocuo) nell'edizione corrente ha la cartella Immagini che appare due volte. Consiglio vivamente di aggiungere la cartella Desktop per ciascun account e qualsiasi altra cartella personale utilizzata per i file personali.

CryptoDrop gestisce il recupero dei file mantenendo copie dei file dalle cartelle protette in una cartella protetta. Ma se guardi questa cartella DropSafe, non vedrai nulla e nemmeno i ransomware che potrebbero essere presenti. Utilizzando una tecnologia simile a un rootkit, CryptoDrop rende i suoi file di backup invisibili alle app e al sistema operativo.

Per impostazione predefinita, CryptoDrop riserva 2 GB per DropSafe. Se quello spazio inizia a riempirsi, viene visualizzato un avviso e un'opzione per aumentare le dimensioni. Check Point ZoneAlarm Anti-Ransomware, Trend Micro e Acronis forniscono il rilevamento di ransomware basato sul comportamento e il recupero dei file che non è limitato a un set specifico di cartelle.

Rilevamento di ransomware

Per un rapido controllo della sanità mentale, ho eseguito un programma ransomware falso e semplice che ho codificato. Tutto ciò che trova trova tutti i file di testo nella cartella Documenti e li crittografa in modo reversibile capovolgendo tutti i bit di ogni byte, da zero a uno, da uno a zero.

Inizialmente, sembrava che CryptoDrop non funzionasse. Osservando più da vicino, mi sono reso conto di avere solo due file di testo nella cartella Documenti. CryptoDrop rileva la "modifica di file di massa" e la crittografia di solo due file non è stata registrata come modifica di massa. Quando ho provato di nuovo con due dozzine di file di testo, CryptoDrop ha ripreso l'attività, ha interrotto il programma ed è entrato in modalità Blocco, rendendo tutti i file temporaneamente di sola lettura. Ha inoltre creato una regola per bloccare sempre il programma di test.

Con questo semplice test, ho ricontrollato l'isolamento del sistema di test della macchina virtuale dalla rete fisica e ho iniziato a lanciare campioni di ransomware reali. In ogni caso, CryptoDrop ha rilevato la minaccia, l'ha uccisa e è passata alla modalità Blocco.

Occasionalmente incontro strumenti di protezione ransomware che possono essere sviati se il ransomware si avvia all'avvio, prima dell'utilità anti-ransomware. CyberSight RansomStopper ha fallito questo test, così come la protezione ransomware nell'ultimo IObit Advanced SystemCare Ultimate. Quando ho impostato uno dei campioni di ransomware da avviare all'avvio e riavviato, CryptoDrop non ha avuto problemi a difendersi da esso.

Ransomware Recovery

CryptoDrop ha fatto molto bene al rilevamento di ransomware. Il componente di recupero ha funzionato, per la maggior parte, ma la sua esecuzione si è rivelata un po 'irregolare.

Come notato, CryptoDrop mantiene backup sicuri dei tuoi file in una cartella i cui contenuti non possono essere visualizzati da altre app. Quando fai clic su Ripristina file, viene visualizzato un elenco di file interessati dal recente attacco ransomware. La finestra di ripristino corta e ampia ha riempito l'intera larghezza (1.280 pixel) del mio sistema di test, ma non era abbastanza alta da visualizzare una dozzina di file. Per ogni file, mostrava il percorso completo originale, il percorso per il backup protetto, un timbro data / ora e il processo che ha danneggiato l'originale. Per qualsiasi motivo, visualizza i percorsi di recupero in tutte le maiuscole, rendendo la visualizzazione difficile da leggere.

È importante rivedere l'elenco dei file e selezionare solo quelli che si desidera ripristinare. Ho scoperto che nella maggior parte dei casi questo elenco includeva file creati dal ransomware; non vuoi recuperarli. Anziché utilizzare le caselle di controllo per la selezione, CryptoDrop richiede di premere Ctrl + clic su ogni elemento che si desidera ripristinare.

In ogni caso, l'effettivo processo di recupero è avvenuto rapidamente e, per quanto ho potuto dire, ha recuperato correttamente tutti i file. In alcuni casi, tuttavia, ha fatto un po 'di più. Ad esempio, un tentativo di recupero ha prodotto quattro versioni per ciascun file. Oltre al documento correttamente recuperato e alla versione crittografata rimanente, esisteva un file con lo stesso nome senza estensione e un'altra copia con estensione.RECOVERED. Sembrava un po 'disordinato.

In un altro caso più preoccupante, il processo di ransomware è rimasto in esecuzione dopo che CryptoDrop lo ha sospettato. Mentre stavo lavorando al processo di recupero, ha cambiato il desktop in una nota di riscatto e ha anche mostrato la sua richiesta di riscatto come file HTML. Per essere onesti, non ha gestito alcuna ulteriore attività di crittografia, ma un file sospeso non dovrebbe essere in esecuzione affatto.

Disk Encryption Ransomware

Il ransomware di crittografia dei file è di gran lunga il tipo più comune, ma ci sono alcune minacce che crittografano l'unità whle, il che significa che il tuo computer è un mattone fino a quando non paghi il riscatto. Il famigerato ransomware Petya simula un arresto anomalo del sistema seguito da un controllo del disco all'avvio, ma ciò che fa davvero è crittografare l'unità mentre si finge di controllarlo.

Come la maggior parte delle utility di protezione dai ransomware, CryptoDrop si concentra su crittografatori di file, non sull'intero tipo di crittografia del disco. Non ha fatto nulla per fermare il mio campione di Petya. Gli unici prodotti che ho visto prevenire con successo l'attacco di Petya sono Acronis, RansomStopper e Sophos Home Premium.

Altre tecniche

Mentre il rilevamento basato sul comportamento è la caratteristica più comune nelle utility di protezione del ransomware, non è l'unica tecnica che può aiutare. Bitdefender Antivirus Plus, Trend Micro RansomBuster e alcuni altri vietano la modifica di file protetti da programmi non autorizzati. Se ricevi un avviso popup proprio mentre stai lanciando, diciamo, un nuovo programma di modifica delle immagini, fai clic per autorizzarlo. Se l'avviso è una sorpresa, blocca l'attività.

Panda Internet Security e IObit Advanced SystemCare Ultimate sono tra i pochi che bloccano anche i programmi non autorizzati dalla lettura dei file protetti. Ciò significa che possono contrastare anche i trojan che rubano i dati.

Un imprenditore di ransomware di successo deve assicurarsi che i "clienti" che pagano il riscatto possano recuperare i propri file. Ciò significa che devono evitare di crittografare due volte lo stesso sistema, il che significa che devono in qualche modo contrassegnare i sistemi infetti. Il Bitdefender Anti-Ransomware gratuito utilizza questo fatto per "vaccinare" i PC contro attacchi ransomware molto specifici e noti. Inganna semplicemente l'attaccante nel pensare che abbia già provocato il suo caos.

Il rilevamento basato sul comportamento presenta un potenziale punto debole. Il ransomware potrebbe crittografare almeno alcuni file prima che l'algoritmo comportamentale entri in azione per fermarlo. Malwarebytes e Cybereason RansomFree hanno perso entrambi un paio di file durante i test. È ancora meglio che perdere tutti i tuoi file, ma un sistema di recupero file è ancora meglio. Durante i test, ZoneAlarm ha fatto un perfetto lavoro di recupero. L'unico errore è stato un caso in cui il ripristino è riuscito, ma ha segnalato un errore.

Un nuovo arrivato interessante

CryptoDrop è una società relativamente nuova, fondata sulla tecnologia creata dai professori di informatica dell'Università della Florida. Ha alcuni spigoli, come la sua presentazione scomoda dei file per il recupero e la moltiplicazione occasionale dei file recuperati. Durante i test, ha bloccato sia il ransomware del mondo reale sia il ransomware simulato, sebbene un programma di ransomware sia rimasto in esecuzione dopo che CryptoDrop ha segnalato la sua soppressione. Non vedo l'ora di una versione futura con un po 'più di smalto.

La scelta dei nostri redattori per la protezione dai ransomware è Check Point ZoneAlarm Anti-Ransomware. A $ 2, 99 al mese per tre licenze, il suo prezzo non è molto diverso da quello di CryptoDrop. Durante i test, ha rilevato tutti i campioni di ransomware e ripristinato in modo pulito tutti i file crittografati dal ransomware. Se anche quel prezzo basso è troppo, la protezione gratuita Acronis Ransomware combina il rilevamento basato sul comportamento con un backup cloud crittografato dei file sensibili.