Recensione e valutazione di Winpatrol Winantiransom

Quasi tutti i programmi antivirus nelle mie recensioni sono solo aggiornamenti di prodotti che ho esaminato molte volte nel corso degli anni. Raramente vedo qualcosa di nuovo, motivo per cui ero entusiasta di dare un'occhiata a WinPatrol WinAntiRansom. Nonostante il nome, questo prodotto mira a proteggere da tutte le forme di malware, non solo dai ransomware. Poiché analizza il comportamento del programma piuttosto che basarsi sulle firme, in teoria dovrebbe essere ugualmente efficace contro tutto il malware, compresi i nuovissimi attacchi zero-day. In pratica, tuttavia, entrambi mancarono alcuni malware e identificarono erroneamente molti buoni programmi come dannosi.

A $ 19, 95 all'anno, o $ 24, 95 per tre licenze, WinAntiRansom è decisamente meno costoso della maggior parte. Osservando rigorosamente il prezzo di listino, Bitdefender Antivirus Plus 2017, Kaspersky, Norton e Webroot costano tutti il ​​doppio per una singola licenza. McAfee costa tre volte il prezzo di WinAntiRansom, ma consente installazioni illimitate. D'altra parte, pagare un po 'di più ti offre molto di più in termini di protezione in questo caso.

WinAntiRansom è insolito in quanto non ha una schermata principale o una finestra principale. All'avvio, visualizza la pagina delle impostazioni, con una barra multifunzione nella parte superiore che consente l'accesso ai registri, alla configurazione, alla guida e così via. Una serie di icone in alto a destra si espande in una schermata che ti consente di selezionare tra quasi quattro dozzine di skin, tra cui alcune dedicate a stagioni o festività specifiche. Tuttavia, non riesco a capire perché un programma anti-malware abbia bisogno di così tante skin.

Immediatamente dopo l'installazione, WinAntiRansom esegue una scansione per identificare ed elencare i buoni programmi noti presenti sul sistema. Facendo clic sull'icona Programmi viene visualizzato questo elenco, che contrassegna i programmi con firma digitale e i componenti di Windows con icone speciali. Al termine della scansione, WinAntiMalware è al lavoro.

Blocco malware all'avvio

I laboratori di test antivirus indipendenti in tutto il mondo hanno più risorse di me per mettere alla prova i programmi di sicurezza. Il fatto che testino un programma afferma che lo considerano abbastanza importante e che il venditore è pronto per la partecipazione. Buoni punteggi? Anche meglio! Kaspersky Anti-Virus in particolare guadagna ottimi punteggi da tutti i laboratori che seguo.

Sfortunatamente, nessuno dei laboratori include WinAntiRansom nei test. Ciò non significa che sia negativo, ma non ispira fiducia.

Senza risultati di test da parte di laboratori indipendenti, ho dovuto fare affidamento interamente sui miei test pratici sull'efficacia di questa utility. A differenza della maggior parte delle app antivirus, WinAntiRansom esamina solo il comportamento del programma, quindi non esiste una scansione in accesso. Ciò ha reso i test semplici. Ho appena lanciato ogni campione di malware nella mia raccolta e registrato la reazione dell'app.

L'antivirus ha rilevato il 97 percento dei miei campioni, lo stesso di Norton, Trend Micro Antivirus + Security e pochi altri. In ogni caso, è spuntata una finestra di notifica con il titolo "PreEmptive Strike Block!" e una riga che indica "Eseguito un'azione simile a Ransomware / Malware" seguita da un numero tra parentesi. Il popup offriva due opzioni, Consenti prossima volta e Quarantena. WinAntiRansom ha rilevato alcuni dei campioni immediatamente all'avvio, altri dopo che era trascorso un po 'di tempo.

Quei numeri mi hanno incuriosito. Durante i miei test, ho riscontrato 15 numeri diversi, che vanno da uno a 3001. Il mio contatto presso l'azienda ha spiegato che i numeri rappresentano l'azione finale che ha spinto in alto il punteggio di comportamento aggregato del programma. "Non li abbiamo mai resi pubblici perché non vogliamo aiutare gli autori di malware a trovare un modo per evitare il rilevamento o i concorrenti a migliorare i loro prodotti", ha spiegato.

Grafico dei risultati del blocco malware

La quarantena di WinAntiRansom ha impedito alla maggior parte del campione di malware di installare nulla. Tuttavia, in alcuni casi ho trovato un processo malware non solo installato ma in esecuzione. È possibile che il sistema di rilevamento basato sul comportamento abbia messo in quarantena un processo ma ne abbia perso un altro. Ciò ha portato il punteggio complessivo di WinAntiRansom a 9, 2 punti. Symantec Norton AntiVirus Basic e Trend Micro hanno guadagnato 9, 7 punti perché hanno bloccato completamente ogni attacco malware rilevato. Webroot si posiziona ai vertici in questo test, con 10 punti perfetti.

Molti falsi positivi

Potrei scrivere un programma antivirus che blocchi assolutamente ogni programma dannoso. L'unico problema è che bloccherebbe anche ogni programma non dannoso. Nel mondo reale, le utility antivirus hanno due obiettivi: bloccare tutti i programmi dannosi e lasciare soli tutti i programmi validi. I falsi positivi, contrassegnando i programmi validi come dannosi, riducono la fiducia dell'utente nell'accuratezza dell'antivirus.

Per un controllo di sanità mentale falsamente positivo, ho testato la reazione di WinAntiRansom a una raccolta di programmi di utilità una volta pubblicata su PC Magazine. Conservo queste utilità nella stessa cartella degli esempi di malware, sfogliando l'elenco in ordine alfabetico e avviando programmi sia buoni che cattivi.

I risultati furono tristi. Solo cinque dei 20 programmi sono sfuggiti al blocco di attacco preventivo di WinAntiRansom. Sì, l'utente potrebbe scegliere di consentire il programma la volta successiva e avviarlo nuovamente. Ma non sono un fan dei programmi di sicurezza che lasciano questo tipo di decisione all'utente. Il fatto che la notifica popup non identifichi la ragione per cui classifica il programma come malware rende questa decisione ancora più dura.

Blocco delle ultime minacce

Non ho potuto applicare il mio solito test di blocco degli URL dannosi su WinAntiRansom, perché non tenta di bloccare l'accesso agli URL che ospitano malware e non esegue la scansione dei download fino a quando non vengono eseguiti. Apprezzo questo test, tuttavia, perché i campioni di malware nel feed forniti da MRG-Effitas sono molto attuali e gli URL stessi non risalgono a più di un giorno fa. Quindi, ho ideato un test modificato per WinAntiRansom.

Di solito uso 100 campioni, ma per questo test più laborioso mi sono fermato dopo averne scaricato 50. Quindi ho semplicemente seguito la linea, avviando ciascuno e notando la risposta dell'applicazione. I risultati furono deludenti. WinAntiRansom si è offerto di mettere in quarantena solo il 78 percento dei campioni. Norton ha bloccato il 98 percento, principalmente cancellando il malware scaricato. Avira Antivirus Pro ha gestito la protezione al 95 percento, quasi tutti allontanando il browser dall'URL di malware.

Solo per un controllo di integrità, ho eseguito l'hash MD5 di ciascun campione tramite VirusTotal. VirusTotal controlla ogni campione rispetto a più di 50 motori antivirus e segnala quanti lo hanno ritenuto dannoso. Ho registrato la percentuale che ha contrassegnato ogni campione come dannoso. Per i file rilevati da WinAntiRansom, il tasso medio di rilevamento di VirusTotal era del 59 percento. Per quelli che ha perso, la media era del 53 percento, il che non fa molta differenza.

Ad essere onesti, è possibile che alcuni di quei file persi semplicemente non avessero iniziato i loro comportamenti dannosi. È un rischio di rilevamento rigoroso basato sul comportamento: non è in grado di identificare un programma che si nasconde in background, in attesa di un'opportunità di comportarsi male. Ma Webroot SecureAnywhere AntiVirus utilizza anche il rilevamento basato sul comportamento e ha ottenuto risultati molto migliori in tutti i miei test.

Guarda come testiamo il software di sicurezza

Altre caratteristiche e difetti

WinAntiRansom ha numerosi livelli aggiuntivi per prevenire danni da un programma dannoso che supera il rilevamento basato sul comportamento. Network Lockdown funziona come il controllo di un programma firewall, bloccando le connessioni di rete con programmi non presenti nell'elenco attendibile. La protezione del registro impedisce ai programmi sconosciuti di apportare modifiche alle aree critiche del registro. La società non elenca deliberatamente le aree critiche del Registro di sistema, in modo da non rendere le cose facili per gli hacker.

Come ulteriore baluardo contro il ransomware, WinAntiRansom nega ai programmi sconosciuti l'accesso ai file in SafeZone, che, per impostazione predefinita, è una sottocartella della cartella Documenti. Ho pensato che avrebbe avuto più senso mettere l'intera cartella Documenti in SafeZone, ma l'app non me lo ha permesso. Dalla barra multifunzione, è possibile fare clic sulle icone per visualizzare tutte le azioni recenti per Protezione del registro, Blocco della rete e SafeZone.

Ho provato a testare il blocco della rete navigando in Internet con il mio browser minuscolo codificato a mano. Tuttavia, WinAntiRansom lo ha identificato come dannoso. L'unico modo per eseguirlo era contrassegnarlo come attendibile, a quel punto non era più soggetto al blocco della rete. Allo stesso modo, ho pensato di poter testare SafeZone usando un piccolo editor di testo che ho scritto da solo, ma WinAntiRansom lo ha messo in quarantena. Tutti e tre i miei elenchi sono rimasti vuoti, così come sono negli screenshot del sistema di aiuto.

Durante i miei test, il programma si è bloccato più volte, innescando una query da Windows sul fatto che volessi semplicemente chiuderlo o cercare prima una soluzione. Si è anche bloccato con un messaggio di errore di eccezione non gestita un paio di volte.

Ho anche riscontrato un comportamento molto bizzarro legato alla funzione skin. Innanzitutto, ho selezionato la skin di San Valentino, che trasforma lo sfondo in rosa, con piccoli cuori sparsi. Quindi ho ridimensionato la finestra. A questo punto, lo sfondo ha iniziato a scorrere tre visualizzazioni, ciascuna che scorre lentamente verso il basso dall'alto. Uno era il corretto sfondo a forma di cuore rosa, uno era una griglia che riempiva la finestra di piccole icone a forma di ingranaggio e uno era solo nero. Il display particolare si è fermato dopo un po ', ma è ricominciato se ho ridimensionato la finestra. Questo comportamento era completamente ripetibile e si verificava con alcune, ma non tutte, le altre pelli. Ho detto in precedenza che sono sconcertato dall'enorme attenzione per il design data alla fornitura di dozzine di pelli, e lo strano comportamento della pelle rende solo più sconcertante.

Ha bisogno di lavoro

WinPatrol WinAntiRansom mira a proteggerti da malware noti e sconosciuti basandone il rilevamento sul comportamento, non su firme predefinite. È un obiettivo nobile, ma per quanto ho potuto vedere nei test, il programma ha ancora molta strada da fare. Mancava alcuni programmi dannosi, bloccava molti programmi validi e mostrava comportamenti stranamente difettosi nei test.

Tra l'enorme numero di prodotti antivirus disponibili, ne abbiamo identificati cinque come Scelti dai redattori: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Symantec Norton AntiVirus Basic e Webroot SecureAnywhere Antivirus. Ognuno ha le sue virtù; ad esempio, McAfee offre installazioni illimitate e Webroot utilizza correttamente il rilevamento basato sul comportamento. Paghi di più per una di queste utility antivirus, ma ottieni una protezione significativamente migliore.