Sommario:
Video: CryptoPrevent Premium (Ottobre 2024)
Non è un segreto che il ransomware sia un grosso problema e che i prodotti che mirano a proteggersi dal ransomware stanno diventando sempre più popolari. Molti di questi strumenti sono risposte inedite alla minaccia, ma CryptoPrevent Premium 8, di Foolish IT, combatte i ransomware dal 2013, quando ha puntato gli occhi su CryptoLocker. Tuttavia, durante i test si è rivelato molto più complicato rispetto ai prodotti specifici per ransomware concorrenti e notevolmente meno efficace.
Come RansomFree e Malwarebytes Anti-Ransomware, CryptoPrevent non è progettato per essere utilizzato nel vuoto. Piuttosto, il punto è usarlo insieme alla protezione esistente, per spazzare via qualsiasi ransomware che sfugge al tuo normale antivirus. Questo ha perfettamente senso. È sempre possibile che malware di qualsiasi tipo possano eludere temporaneamente la protezione antivirus, ma alla fine un aggiornamento antivirus lo cancella. Tuttavia, anche se l'antivirus cancella il ransomware ex post facto, non può decrittografare i tuoi file.
Nel 2013, CryptoLocker è emerso come la prima minaccia ransomware per le grandi notizie. Gli sviluppatori di Foolish IT hanno originariamente ideato CryptoPrevent per combattere quella particolare minaccia informatica e immagino che abbia fatto un buon lavoro nel passato. Tuttavia, il ransomware continua a evolversi e CryptoLocker stesso è caduto di lato. Come spiegherò, i test indicano che CryptoPrevent non ha tenuto il passo con questa evoluzione.
Configurazione di CryptoPrevent
Ho iniziato installando l'edizione gratuita del prodotto. La differenza tra questa utility e altri strumenti specifici del ransomware è stata immediatamente evidente. Laddove Cybereason RansomFree e Malwarebytes lavorano in background, con una minima interazione dell'utente, la finestra principale di CryptoPrevent mostra sette schede, ognuna piena di impostazioni. La più importante di queste è la scheda principale, denominata Applica protezione, che consente di scegliere un piano di protezione.
Al primo avvio, il piano di protezione è impostato su Nessuno, il che significa che il programma è inattivo. A livello minimo, promette di bloccare CryptoLocker e possibilmente altri malware, ma non minacce più recenti. Se impostato su Predefinito, offre protezione contro una vasta gamma di minacce malware, ma non è necessariamente il più recente ransomware. Al livello massimo, il più alto disponibile nell'edizione gratuita, avverte che sarà necessario disabilitare la protezione durante l'installazione o la disinstallazione del software; non fa promesse specifiche sul ransomware.
Facendo clic sulla scheda Impostazioni di protezione viene visualizzata una finestra con cinque sottoschede, alcune delle quali dispongono di sottoschede proprie. Sì, è molto diverso dalla concorrenza. La scheda Criteri di restrizione software impedisce l'avvio di programmi da aree di sistema specifiche che normalmente non includono file eseguibili, come cartelle temporanee. Si noti che i criteri di restrizione software sono una funzionalità di Windows, gestita da CryptoPrevent.
Quando ho visto la scheda FolderWatch, ho prima ipotizzato che CryptoPrevent avrebbe impedito ai programmi non autorizzati di modificare i file nelle cartelle protette, che includono le cartelle Desktop e Documenti. Panda Internet Security e IObit impediscono qualsiasi accesso, anche di sola lettura, nelle cartelle protette. Come ha spiegato il mio contatto presso l'azienda, non è così che CryptoPrevent lancia. Piuttosto, analizza tutti i file rilasciati in queste aree e mette in quarantena quelli che riconosce come malware.
Quando si sceglie e si applica un piano di protezione, CryptoPrevent offre di autorizzare i programmi esistenti nelle aree protette. Questo ha senso; altrimenti lo troveresti bloccando programmi legittimi.
Il pagamento dell'abbonamento di $ 15 rende disponibile un ulteriore piano di protezione, chiamato Extreme. Come per il livello massimo, il programma consiglia di disattivare la protezione per installare o disinstallare i programmi e inoltre nota che potrebbe interferire con un software legittimo. A livello estremo, l'icona di notifica Quick Launch, con il suo menu enorme, diventa disponibile. Non ricevi le stesse notifiche nell'edizione gratuita.
A livello estremo, diventa disponibile anche la funzione HoneyWot di FolderWatch. Questa funzione beta riempie le tipiche posizioni di attacco ransomware con file esca. Maggiori informazioni sull'honeypot più tardi.
Test di CryptoPrevent
Come notato, ho iniziato installando l'edizione gratuita. Prima di rendermi conto che FolderWatch non mirava a impedire l'accesso ai file da programmi non autorizzati, l'ho testato con un minuscolo editor di testo e un semplice codificatore di file. Ho scritto questi stessi, quindi sicuramente non sono in alcun elenco di programmi approvati. Naturalmente CryptoPrevent non ha reagito; non è quello che dovrebbe fare.
Successivamente, ho accuratamente isolato la macchina virtuale dalla rete e rilasciato una mezza dozzina di campioni di ransomware del mondo reale, uno alla volta. Per un esempio, un messaggio di errore di Windows riportava "L'amministratore di sistema ha bloccato questo programma". Tuttavia, quando ho respinto il messaggio, il ransomware ha provato a riavviarsi e il messaggio è riapparso, ripetutamente, fino alla nausea, fino a quando ho terminato la sessione della macchina virtuale e sono tornato a uno stato pulito.
Un altro esempio non è riuscito a funzionare senza alcun messaggio o notifica. Ma il resto dei campioni possedeva completamente il sistema di test, crittografando i file e mostrando messaggi minacciosi che richiedevano un riscatto per recuperarli. Chiaramente, l'edizione gratuita non offre molta protezione. Di fronte agli stessi campioni, Malwarebytes li ha fermati tutti e Ransomfree ha fermato tutti tranne uno. Anche la protezione specifica del ransomware in Acronis True Image 2017 New Generation ha interrotto tutti tranne uno.
Ho eseguito l'upgrade alla versione Premium, ho scelto la protezione Extreme ed eseguito nuovamente questi test. I risultati sono stati gli stessi, con una differenza minore. Quando ho provato l'esempio di ransomware che misteriosamente falliva sotto la protezione della versione gratuita, ho ricevuto una notifica pop-up che segnalava che le Politiche di restrizione del sistema lo avevano bloccato. Allo stesso modo, l'esempio che è entrato in un ciclo con CryptoPrevent ora ha generato una notifica popup ogni volta.
Uso il simulatore di ransomware RanSim di KnowBe4 anche per i test, ma prendo i suoi risultati con un pizzico di sale. Alcune aziende sostengono che il suo ransomware simulato non è abbastanza simile al ransomware reale, quindi i loro sistemi di rilevamento basati sul comportamento lo ignorano. Ransomfree, ad esempio, non rileva nessuna delle simulazioni; Non lo considero negativo. Tuttavia, Malwarebytes Anti-Ransomware Beta ha rilevato otto dei 10 e Acronis ha bloccato attivamente nove delle 10 simulazioni. Per quanto riguarda CryptoPrevent, non ha reagito affatto al ransomware simulato.
Protezione di Honeypot
I ricercatori di malware usano spesso honeypot , computer connessi a Internet senza protezione di sicurezza, per catturare campioni di malware. Il sistema honeypot di CryptoPrevent inserisce dozzine di file "esca" in posizioni popolari, come le cartelle Desktop e Documenti. Quando ho abilitato questa funzione, ho ricevuto un forte avviso che devo anche abilitare l'icona di notifica di accesso rapido e che se non lo facessi, CryptoPrevent spegnerebbe il sistema senza preavviso al rilevamento di ransomware. Avevo già abilitato quella funzione, quindi non avevo preoccupazioni.
La prima cosa che ho notato abilitando l'honeypot è che il mio desktop si è riempito completamente e traboccava di icone. CryptoPrevent ha aggiunto circa 80 file al desktop, alla cartella Documenti e ad altre aree. (Sì, ho Windows impostato per visualizzare i file nascosti; non è vero?) Non ero affatto contento del programma che usurpava il mio desktop, ma ho proceduto con i test.
I risultati non sono stati incoraggianti. Un campione è proseguito senza interferenze, crittografando tutti i file esca e altri file e mostrando in modo provocatorio la sua richiesta di riscatto. In due casi, CryptoPrevent ha rilevato attività ransomware. Ha consigliato di spegnere immediatamente il sistema e di cercare l'aiuto di un esperto per gestire l'infestazione. Ma in uno di questi due casi, ho scoperto che il ransomware aveva crittografato tutti (o quasi) i file vulnerabili prima del rilevamento. Al contrario, Ransomfree, Malwarebytes e Acronis hanno chiuso l'attività ransomware prima che potesse fare molto male. In alcuni casi, alcuni file vengono crittografati, ma solo pochi.
Intrusivo e inefficace
Consiglio vivamente di integrare il tuo normale antivirus con un'utilità specifica per rilevare i ransomware che potrebbero sfuggire all'antivirus. Ma non consiglio CryptoPrevent Premium 8 a tale scopo. Come ammettono le sue stesse istruzioni, può interferire con il normale funzionamento del programma e i suoi livelli di protezione più elevati devono essere disattivati se si desidera installare o disinstallare programmi. Durante i test, la sua funzione honeypot ha rovinato il mio desktop con più icone di quelle che si adatterebbero. E anche al massimo livello di protezione, non ha impedito la crittografia da parte di alcuni campioni di ransomware reali.
Il mio contatto presso Foolish IT sottolinea che questo prodotto mira a lavorare con gli antivirus esistenti, non da solo. E la società raccomanda vivamente di mantenere un backup completo e aggiornato come la migliore protezione. Anche così, i prodotti concorrenti svolgono in modo dimostrabile il lavoro che CryptoPrevent non svolge.
Se hai intenzione di integrare il tuo antivirus con la protezione da ransomware, vuoi qualcosa che sia il più discreto possibile e che faccia il lavoro previsto. Cybereason RansomFree e Malwarebytes Anti-Ransomware Beta si adattano entrambi al profilo e sono gratuiti. In effetti, sto eseguendo entrambi sul mio computer principale, integrando la mia protezione antivirus principale.
