Mục lục:
Video: CryptoPrevent Premium (Tháng Mười 2024)
Không có gì bí mật rằng ransomware là một vấn đề lớn và các sản phẩm nhằm bảo vệ chống lại ransomware đang ngày càng trở nên phổ biến. Nhiều công cụ như vậy là những phản ứng hoàn toàn mới đối với mối đe dọa, nhưng CryptoPrevent Premium 8, từ Foolish IT, đã chiến đấu với ransomware từ năm 2013, khi nó nhắm đến CryptoLocker. Tuy nhiên, trong thử nghiệm, nó tỏ ra phức tạp hơn nhiều so với các sản phẩm dành riêng cho ransomware cạnh tranh và kém hiệu quả hơn rất nhiều.
Giống như RansomFree và Malwarebytes Anti-Ransomware, CryptoPrevent không được thiết kế để sử dụng trong chân không. Thay vào đó, vấn đề là sử dụng nó cùng với sự bảo vệ hiện có của bạn, để xóa sạch mọi phần mềm ransomware trượt qua phần mềm chống vi-rút thông thường của bạn. Điều đó làm cho ý nghĩa hoàn hảo. Luôn có khả năng phần mềm độc hại dưới bất kỳ hình thức nào có thể tạm thời tránh được bảo vệ chống vi-rút, nhưng cuối cùng, một bản cập nhật chống vi-rút sẽ xóa sạch nó. Tuy nhiên, ngay cả khi phần mềm chống vi-rút xóa sạch phần mềm ransomware, nhưng nó không thể giải mã các tệp của bạn.
Năm 2013, CryptoLocker nổi lên như mối đe dọa ransomware tin tức lớn đầu tiên. Các nhà phát triển tại Foolish IT ban đầu đã nghĩ ra CryptoPrevent để chống lại mối đe dọa mạng cụ thể đó và tôi tưởng tượng rằng nó đã làm rất tốt, ngay từ ngày trước. Tuy nhiên, ransomware tiếp tục phát triển và chính CryptoLocker đã thất thủ. Như tôi sẽ giải thích, thử nghiệm chỉ ra rằng CryptoPrevent đã không theo kịp sự phát triển đó.
Định cấu hình CryptoPrevent
Tôi bắt đầu bằng cách cài đặt phiên bản miễn phí của sản phẩm. Sự khác biệt giữa tiện ích này và các công cụ dành riêng cho ransomware khác đã rõ ràng ngay lập tức. Khi Cyberory RansomFree và Malwarebytes hoạt động ở chế độ nền, với mức tối thiểu tương tác người dùng, cửa sổ chính của CryptoPrevent có bảy tab, mỗi tab đều có cài đặt. Điều quan trọng nhất trong số này là tab chính, có nhãn Áp dụng Bảo vệ, cho phép bạn chọn gói bảo vệ.
Trong lần khởi chạy đầu tiên, gói bảo vệ được đặt thành Không có nghĩa là chương trình không hoạt động. Ở cấp độ Tối thiểu, nó hứa hẹn sẽ chặn CryptoLocker và có thể các phần mềm độc hại khác, nhưng không phải là mối đe dọa mới hơn. Khi được đặt thành Mặc định, nó cung cấp bảo vệ chống lại một loạt các mối đe dọa phần mềm độc hại, nhưng vẫn không nhất thiết phải là phần mềm ransomware mới nhất. Ở cấp độ Tối đa, cao nhất có sẵn trong phiên bản miễn phí, nó cảnh báo rằng bạn sẽ cần phải vô hiệu hóa bảo vệ khi cài đặt hoặc gỡ cài đặt phần mềm; nó không đưa ra những lời hứa cụ thể về ransomware.
Nhấp vào tab Cài đặt Bảo vệ sẽ hiển thị một cửa sổ có năm bảng phụ, một số trong đó có bảng phụ riêng. Vâng, nó rất khác so với đối thủ. Tab Chính sách hạn chế phần mềm ngăn chương trình khởi chạy từ các khu vực hệ thống cụ thể thường không bao gồm các tệp thực thi, chẳng hạn như các thư mục tạm thời. Lưu ý rằng Chính sách hạn chế phần mềm là một tính năng của Windows, được quản lý bởi CryptoPrevent.
Khi tôi thấy tab FolderWatch, trước tiên tôi cho rằng CryptoPrevent sẽ ngăn các chương trình trái phép thay đổi tệp trong các thư mục được bảo vệ, bao gồm các thư mục Desktop và Documents. Panda Internet Security và IObit ngăn chặn tất cả quyền truy cập, thậm chí truy cập chỉ đọc, trong các thư mục được bảo vệ. Như liên hệ của tôi tại công ty đã giải thích, đó không phải là cách mà CryptoPrevent cuộn lại. Thay vào đó, nó quét bất kỳ tệp nào rơi vào các khu vực này và cách ly những tệp mà nó nhận ra là phần mềm độc hại.
Khi bạn chọn và áp dụng gói bảo vệ, CryptoPrevent sẽ cung cấp danh sách trắng các chương trình hiện có trong các khu vực được bảo vệ. Điều đó có ý nghĩa; nếu không, bạn sẽ thấy nó chặn các chương trình hợp pháp.
Trả tiền thuê bao 15 đô la giúp có thêm một gói bảo vệ, được gọi là Extreme. Cũng như mức Tối đa, chương trình khuyên bạn nên tắt bảo vệ để cài đặt hoặc gỡ cài đặt chương trình và lưu ý thêm rằng nó có thể can thiệp vào phần mềm hợp pháp. Ở cấp độ cực đoan, biểu tượng thông báo Khởi động nhanh, với menu lớn, sẽ khả dụng. Bạn không nhận được thông báo tương tự trong phiên bản miễn phí.
Ở cấp độ Extreme, tính năng FolderWatch HoneyPot cũng sẽ khả dụng. Tính năng beta này lấp đầy các vị trí tấn công ransomware điển hình bằng các tệp mồi. Thêm về honeypot sau.
Kiểm tra CryptoPrevent
Theo ghi nhận, tôi bắt đầu bằng cách cài đặt phiên bản miễn phí. Trước khi tôi nhận ra rằng FolderWatch không nhằm mục đích ngăn chặn truy cập tệp bởi các chương trình trái phép, tôi đã thử nghiệm nó với một trình soạn thảo văn bản nhỏ và một trình mã hóa tệp đơn giản. Tôi đã tự viết những thứ này, vì vậy chúng chắc chắn không có trong bất kỳ danh sách chương trình nào được phê duyệt. Đương nhiên CryptoPrevent không phản ứng; đó không phải là những gì nó có nghĩa là để làm.
Tiếp theo, tôi cẩn thận cách ly máy ảo khỏi mạng và phát hành một nửa tá mẫu ransomware trong thế giới thực, từng mẫu một. Đối với một mẫu, một thông báo lỗi Windows đã báo cáo "Quản trị viên hệ thống của bạn đã chặn chương trình này." Tuy nhiên, khi tôi loại bỏ tin nhắn, ransomware đã cố gắng khởi chạy lại và tin nhắn lại xuất hiện, lặp đi lặp lại, quảng cáo, cho đến khi tôi kết thúc phiên máy ảo và trở lại trạng thái sạch.
Một mẫu khác chỉ đơn giản là không hoạt động, không có tin nhắn hoặc thông báo. Nhưng các mẫu còn lại hoàn toàn sở hữu hệ thống kiểm tra, mã hóa các tệp và hiển thị các tin nhắn đe dọa đòi tiền chuộc để lấy lại chúng. Rõ ràng, phiên bản miễn phí không cung cấp nhiều sự bảo vệ. Đối mặt với các mẫu tương tự, Malwarebytes đã ngăn chặn tất cả, và Ransomfree đã dừng tất cả trừ một. Việc bảo vệ dành riêng cho ransomware trong Acronis True Image 2017 Thế hệ mới cũng dừng tất cả trừ một.
Tôi đã nâng cấp lên phiên bản Premium, chọn Bảo vệ cực độ và chạy lại các thử nghiệm này. Kết quả là như nhau, với một sự khác biệt nhỏ. Khi tôi thử mẫu ransomware thất bại một cách bí ẩn dưới sự bảo vệ của phiên bản miễn phí, tôi nhận được thông báo bật lên báo cáo rằng Chính sách hạn chế hệ thống đã chặn nó. Tương tự, mẫu đã vào vòng lặp với CryptoPrevent giờ đây đã tạo một thông báo bật lên mỗi lần.
Tôi cũng sử dụng trình giả lập ransomware RanSim của KnowBe4 để thử nghiệm, nhưng tôi lấy kết quả của nó bằng một hạt muối. Một số công ty cho rằng phần mềm ransomware mô phỏng của nó không đủ giống với phần mềm ransomware thực tế, vì vậy các hệ thống phát hiện dựa trên hành vi của họ bỏ qua nó. Ransomfree, ví dụ, không phát hiện bất kỳ mô phỏng nào; Tôi không coi đó là một tiêu cực. Tuy nhiên, Malwarebytes Anti-Ransomware Beta đã phát hiện tám trong số 10 và Acronis đã chủ động chặn chín trong số 10 mô phỏng. Đối với CryptoPrevent, nó hoàn toàn không phản ứng với phần mềm ransomware mô phỏng.
Bảo vệ bởi Honeypot
Các nhà nghiên cứu phần mềm độc hại thường sử dụng các máy tính kết nối mật ong mật ong không có bảo vệ bảo mật để bắt các mẫu phần mềm độc hại. Hệ thống honeypot của CryptoPrevent đặt hàng tá tệp "mồi" vào các vị trí phổ biến, chẳng hạn như các thư mục Desktop và Documents. Khi tôi kích hoạt tính năng này, tôi đã nhận được một cảnh báo mạnh mẽ rằng tôi cũng phải bật biểu tượng thông báo Truy cập nhanh và nếu tôi không làm như vậy, CryptoPrevent sẽ tắt hệ thống mà không cảnh báo về việc phát hiện ransomware. Tôi đã kích hoạt tính năng này, vì vậy tôi không phải lo lắng.
Điều đầu tiên tôi nhận thấy khi bật honeypot là máy tính để bàn của tôi được lấp đầy và tràn ngập các biểu tượng. CryptoPrevent đã thêm khoảng 80 tệp vào máy tính để bàn, thư mục Tài liệu và các khu vực khác. (Có, tôi có Windows được thiết lập để hiển thị các tệp ẩn; phải không?) Tôi hoàn toàn không hài lòng với chương trình chiếm đoạt máy tính để bàn của mình, nhưng tôi đã tiến hành thử nghiệm.
Kết quả không đáng khích lệ. Một mẫu được tiến hành mà không bị can thiệp, mã hóa tất cả các tệp mồi và các tệp khác và hiển thị một cách thách thức ghi chú tiền chuộc của nó. Trong hai trường hợp, CryptoPrevent đã phát hiện hoạt động của ransomware. Nó khuyên ngay lập tức đóng cửa hệ thống và tìm kiếm sự giúp đỡ của chuyên gia để đối phó với sự phá hoại. Nhưng trong một trong hai trường hợp đó, tôi thấy rằng ransomware đã mã hóa tất cả (hoặc gần như tất cả) các tệp dễ bị tổn thương trước khi phát hiện. Ngược lại, Ransomfree, Malwarebytes và Acronis đều ngừng hoạt động của ransomware trước khi nó có thể gây hại nhiều. Trong một số trường hợp, một vài tập tin được mã hóa, nhưng chỉ một vài.
Xâm nhập và không hiệu quả
Tôi thực sự khuyên bạn nên bổ sung phần mềm chống vi-rút thông thường của bạn bằng một tiện ích đặc biệt nhằm phát hiện phần mềm ransomware mà phần mềm chống vi-rút có thể bỏ lỡ. Nhưng tôi không khuyên dùng CryptoPrevent Premium 8 cho mục đích đó. Theo hướng dẫn riêng của nó thừa nhận, nó có thể can thiệp vào hoạt động bình thường của chương trình và mức độ bảo vệ cao hơn của nó phải bị tắt nếu bạn muốn cài đặt hoặc gỡ cài đặt chương trình. Trong thử nghiệm, tính năng honeypot của nó đã làm hỏng máy tính để bàn của tôi với nhiều biểu tượng hơn mức vừa vặn. Và ngay cả ở mức bảo vệ cao nhất, nó cũng không ngăn được mã hóa bởi một số mẫu ransomware trong thế giới thực.
Địa chỉ liên hệ của tôi tại Foolish IT chỉ ra rằng sản phẩm này nhằm mục đích hoạt động cùng với phần mềm chống vi-rút hiện có chứ không phải của chính nó. Và công ty khuyên bạn nên giữ một bản sao lưu đầy đủ và cập nhật là sự bảo vệ tốt nhất. Mặc dù vậy, các sản phẩm cạnh tranh mạnh mẽ thực hiện công việc mà CryptoPrevent không làm.
Nếu bạn sẽ bổ sung phần mềm chống vi-rút của mình bằng bảo vệ ransomware, bạn muốn thứ gì đó không gây khó chịu nhất có thể và đó là công việc dự định. Cyberory RansomFree và Malwarebytes Anti-Ransomware Beta đều phù hợp với hồ sơ và chúng đều miễn phí. Trên thực tế, tôi đang chạy cả trên máy tính chính của mình, bổ sung khả năng chống vi-rút chính.
