目录:
视频: CryptoPrevent Premium (十月 2024)
勒索软件是一个大问题,这已经不是什么秘密了,旨在防止勒索软件的产品正变得越来越流行。 许多这样的工具是对威胁的全新响应,但Foolish IT的CryptoPrevent Premium 8自2013年将目光投向CryptoLocker以来就一直在与勒索软件进行斗争。 但是,在测试中,它证明了比竞争对手的勒索软件专用产品复杂得多,效率却低得多。
像RansomFree和Malwarebytes Anti-Ransomware一样,CryptoPrevent并非旨在用于真空环境。 相反,关键是将其与您现有的保护措施一起使用,以清除所有流过常规防病毒软件的勒索软件。 这是很合理的。 任何类型的恶意软件总是有可能暂时避开防病毒保护,但最终通过防病毒更新将其清除。 但是,即使防病毒软件事后清除了勒索软件,也无法解密您的文件。
2013年,CryptoLocker成为第一个大新闻勒索软件威胁。 Foolish IT的开发人员最初设计CryptoPrevent来解决特定的网络威胁,而且我想它在当时做得很好。 但是,勒索软件不断发展,CryptoLocker本身已被淘汰。 正如我将解释的那样,测试表明CryptoPrevent没有跟上这种发展。
配置CryptoPrevent
我首先安装了该产品的免费版本。 该工具与其他勒索软件专用工具之间的区别显而易见。 Cybereason RansomFree和Malwarebytes在后台运行的情况下,几乎没有用户交互,CryptoPrevent的主窗口显示七个选项卡,每个选项卡都有设置。 其中最重要的是标有“应用保护”的主选项卡,可用于选择保护计划。
首次启动时,保护计划设置为“无”,表示该程序处于非活动状态。 在最低级别,它有望阻止CryptoLocker和可能的其他恶意软件,但不会阻止较新的威胁。 设置为“默认”时,它可以抵御各种恶意软件的威胁,但仍不一定是最新的勒索软件。 在最高级别(免费版本中可用的最高级别)上,它警告您在安装或卸载软件时需要禁用保护; 它没有对勒索软件做出具体承诺。
单击“保护设置”选项卡将显示一个包含五个子选项卡的窗口,其中一些子选项卡具有自己的子选项卡。 是的,它与竞争对手截然不同。 “软件限制策略”选项卡可防止程序从通常不包含可执行文件(例如临时文件夹)的特定系统区域启动。 请注意,软件限制策略是Windows的功能,由CryptoPrevent管理。
当我看到FolderWatch选项卡时,我首先假定CryptoPrevent可以防止未经授权的程序更改受保护的文件夹中的文件,其中包括Desktop和Documents文件夹。 Panda Internet Security和IObit阻止了受保护文件夹中的所有访问,甚至是只读访问。 正如我在公司的联系人所解释的那样,这不是CryptoPrevent滚动的方式。 相反,它会扫描掉入这些区域的所有文件,并隔离那些被识别为恶意软件的文件。
当您选择并应用保护计划时,CryptoPrevent可以将受保护区域中的现有程序列入白名单。 那讲得通; 否则,您会发现它阻止了合法程序。
只需支付15美元的订阅费用,就可以再提供一项名为Extreme的保护计划。 与最高级别一样,该程序建议关闭保护以安装或卸载程序,并进一步注意它可能会干扰合法软件。 在极端级别,具有大量菜单的“快速启动”通知图标变为可用。 在免费版中,您不会收到相同的通知。
在极端级别,FolderWatch HoneyPot功能也变得可用。 该Beta功能使用诱饵文件填充典型的勒索软件攻击位置。 稍后将进一步介绍蜜罐。
测试CryptoPrevent
如前所述,我首先安装了免费版。 在我意识到FolderWatch并非旨在防止未经授权的程序访问文件之前,我用一个小型文本编辑器和一个简单的文件加密器对其进行了测试。 我是自己写的,因此绝对不在任何已批准的程序列表中。 自然,CryptoPrevent没有反应。 那不是要做的事。
接下来,我仔细地将虚拟机与网络隔离,并一次发布了六个真实世界的勒索软件样本。 对于一个示例,Windows错误消息报告“您的系统管理员已阻止此程序”。 但是,当我关闭该消息时,勒索软件试图再次启动,并且该消息反复出现在广告恶心中,直到我结束虚拟机会话并返回到干净状态为止。
另一个示例完全无法运行,没有消息或通知。 但是其余的样本完全拥有测试系统的所有权,对文件进行加密并显示威胁消息,要求赎金才能将其取回。 显然,免费版没有提供太多保护。 面对相同的样本,Malwarebytes停止了所有采样,Ransomfree停止了除一个采样之外的所有采样。 Acronis True Image 2017 New Generation中特定于勒索软件的保护也停止了除一个以外的所有攻击。
我升级到高级版,选择了极限防护,然后再次运行了这些测试。 结果相同,只有一点点差异。 当我尝试在免费版的保护下神秘失败的勒索软件样本时,我收到一个弹出通知,报告系统限制策略将其阻止。 同样,进入CryptoPrevent循环的示例现在每次都会生成一个弹出通知。
我也使用KnowBe4的RanSim勒索软件模拟器进行测试,但我的结果有些含糊。 一些公司认为其模拟勒索软件与实际勒索软件的相似度不足,因此他们基于行为的检测系统会忽略它。 例如,勒索免费(Ransomfree)无法检测到任何模拟。 我不认为这是负面的。 但是,Malwarebytes Anti-Ransomware Beta检测到10个模拟中的8个,而Acronis主动阻止了10个模拟中的9个。 至于CryptoPrevent,它完全不对模拟勒索软件做出反应。
蜜罐的保护
恶意软件研究人员通常使用 蜜罐 (没有安全保护的联网计算机)来捕获恶意软件样本。 CryptoPrevent的蜜罐系统将数十个“诱饵”文件放置到常用位置,例如“桌面”和“文档”文件夹。 启用此功能后,我收到强烈警告,要求我也必须启用“快速访问”通知图标,如果不启用,则CryptoPrevent将关闭系统而不会警告检测到勒索软件。 我已经启用了该功能,因此我无需担心。
在启用蜜罐的过程中,我注意到的第一件事是我的桌面完全装满并充满了图标。 CryptoPrevent在桌面,Documents文件夹和其他区域添加了大约80个文件。 (是的,我已将Windows设置为显示隐藏文件;对吗?)我对使用桌面程序的操作并不满意,但我继续进行测试。
结果并不令人鼓舞。 一个样本继续进行,没有任何干扰,对所有诱饵文件和其他文件进行加密,并挑衅地显示其赎金记录。 在两种情况下,CryptoPrevent检测到勒索软件活动。 它建议立即关闭系统,并寻求专家的帮助来应对这种侵扰。 但是在这两种情况之一中,我发现勒索软件在检测到之前已经加密了所有(或几乎所有)易受攻击的文件。 相比之下,Ransomfree,Malwarebytes和Acronis都在勒索软件活动造成重大损害之前将其关闭。 在某些情况下,一些文件经过加密处理,但只有少数。
侵入性和无效
我强烈建议您添加一个专门用于检测防病毒可能会丢失的勒索软件的实用程序,以补充您的普通防病毒软件。 但是我不建议为此目的使用CryptoPrevent Premium 8。 正如其本身的说明所承认的那样,它可能会干扰程序的正常运行,如果要安装或卸载程序,则必须关闭其较高的保护级别。 在测试中,它的蜜罐功能浪费了我的桌面图标太多的图标。 即使在最高级别的保护下,它也无法阻止某些现实世界中的勒索软件样本进行加密。
我在Foolish IT的联系人确实指出,该产品旨在与现有的防病毒软件一起使用,而不是单独使用。 该公司强烈建议保留完整和最新的备份作为最佳保护。 即便如此,竞争产品仍然可以证明CryptoPrevent无法做到。
如果您打算用勒索软件保护来补充防病毒软件,那么您需要的是尽可能不引人注目的产品,并且可以完成预期的工作。 Cybereason RansomFree和Malwarebytes Anti-Ransomware Beta均符合个人资料,并且它们是免费的。 实际上,我都在自己的主计算机上运行,并补充了主要的防病毒保护。
