جدول المحتويات:
فيديو: CryptoPrevent vs Rasomware (اكتوبر 2024)
ليس سراً أن رانسومواري مشكلة كبيرة ، وأصبحت المنتجات التي تهدف إلى الحماية من رانسومواري أكثر شيوعًا. العديد من هذه الأدوات هي استجابات جديدة تمامًا للتهديد ، لكن CryptoPrevent Premium 8 ، من Foolish IT ، تكافح الفدية منذ عام 2013 ، عندما وضعت معالمها على CryptoLocker. ومع ذلك ، في الاختبار ، ثبت أنه أكثر تعقيدًا بكثير من المنتجات الخاصة بفدية الفدية ، وأقل فعالية بكثير.
مثل RansomFree و Malwarebytes Anti-Ransomware ، CryptoPrevent غير مصمم ليتم استخدامه في فراغ. بدلاً من ذلك ، فإن الهدف من ذلك هو استخدامه إلى جانب الحماية الموجودة لديك ، للقضاء على أي فدية تفلت من الفيروسات المعتادة. هذا يجعل الشعور بالكمال. من المحتمل دائمًا أن البرامج الضارة من أي نوع قد تفلت مؤقتًا من الحماية من الفيروسات ، ولكن في النهاية يؤدي تحديث مكافحة الفيروسات إلى القضاء عليها. ومع ذلك ، حتى لو كان برنامج مكافحة الفيروسات يمحو رانسومواري بأثر رجعي ، فإنه لا يمكن فك تشفير الملفات الخاصة بك.
في عام 2013 ، برز CryptoLocker كأول تهديد لفدية الأخبار الكبيرة. ابتكر المطورون في Foolish IT أصلاً CryptoPrevent لمحاربة هذا التهديد السيبراني بعينه ، وأتصور أنه قام بعمل جيد ، مرة أخرى في اليوم. ومع ذلك ، يستمر تطور رانسومواري ، وسقط CryptoLocker نفسه على جانب الطريق. كما سأوضح ، يشير الاختبار إلى أن CryptoPrevent لم يواكب هذا التطور.
تكوين CryptoPrevent
لقد بدأت بتركيب الإصدار المجاني للمنتج. كان الفرق بين هذه الأداة المساعدة وغيرها من الأدوات الخاصة بفدية الفدية واضحًا على الفور. حيث يعمل Cybereason RansomFree و Malwarebytes في الخلفية ، مع الحد الأدنى من تفاعل المستخدم ، تحتوي نافذة CryptoPrevent الرئيسية على سبع علامات تبويب ، كل منها ممتلئ بالإعدادات. وأهمها علامة التبويب الرئيسية ، المسمى تطبيق الحماية ، والتي تتيح لك اختيار خطة الحماية.
عند الإطلاق لأول مرة ، يتم تعيين خطة الحماية على بلا ، مما يعني أن البرنامج غير نشط. على المستوى الأدنى ، يعد بمنع CryptoLocker وربما غيرها من البرامج الضارة ، ولكن ليس التهديدات الجديدة. عند التعيين على Default ، يوفر الحماية من مجموعة من تهديدات البرامج الضارة ، ولكن لا يزال ليس بالضرورة أحدث فدية. على المستوى الأقصى ، وهو أعلى مستوى متاح في الإصدار المجاني ، يحذر من أنك ستحتاج إلى تعطيل الحماية عند تثبيت البرنامج أو إلغاء تثبيته ؛ أنها لا تقدم وعود محددة حول الفدية.
يؤدي النقر فوق علامة التبويب "إعدادات الحماية" إلى الكشف عن نافذة تحتوي على خمسة علامات تبويب ، بعضها يحتوي على علامات تبويب خاصة بها. نعم ، الأمر مختلف تمامًا عن المنافسة. تمنع علامة تبويب "سياسات تقييد البرامج" عمليات إطلاق البرنامج من مناطق نظام محددة لا تتضمن عادةً ملفات قابلة للتنفيذ ، مثل المجلدات المؤقتة. لاحظ أن نُهج تقييد البرامج هي إحدى ميزات Windows ، والتي يديرها CryptoPrevent.
عندما رأيت علامة التبويب FolderWatch ، افترضت أولاً أن CryptoPrevent سيمنع البرامج غير المصرح بها من تغيير الملفات في المجلدات المحمية ، والتي تتضمن مجلدات Desktop و Documents. يمنع Panda Internet Security و IObit جميع الوصول ، حتى الوصول للقراءة فقط ، في المجلدات المحمية. كما أوضحت جهة الاتصال الخاصة بي في الشركة ، فليس هذا هو ما تدور به CryptoPrevent. بدلاً من ذلك ، يقوم بمسح أي ملف يتم إسقاطه في هذه المناطق ويعزل تلك التي يتعرف عليها على أنها برامج ضارة.
عندما تختار وتطبق خطة حماية ، تقدم CryptoPrevent قائمة بيضاء بالبرامج الموجودة في المناطق المحمية. منطقي؛ وإلا ستجد أنه يحظر البرامج الشرعية.
دفع اشتراك 15 دولارًا يوفر خطة حماية واحدة إضافية ، تسمى Extreme. كما هو الحال مع المستوى الأقصى ، يوصي البرنامج بإيقاف تشغيل الحماية لتثبيت البرامج أو إلغاء تثبيتها ، ويلاحظ كذلك أنه قد يتداخل مع البرامج الشرعية. على مستوى Extreme ، تصبح أيقونة إعلام التشغيل السريع ، بقائمتها الضخمة ، متاحة. لا تحصل على نفس الإشعارات في الإصدار المجاني.
على المستوى المدقع ، تصبح ميزة FolderWatch HoneyPot متاحة أيضًا. هذه الميزة التجريبية تملأ مواقع هجوم الفدية التقليدية بملفات الطعم. المزيد عن مصيدة العسل في وقت لاحق.
اختبار CryptoPrevent
كما لوحظ ، لقد بدأت بتثبيت الإصدار المجاني. قبل أن أدركت أن FolderWatch لا يهدف إلى منع الوصول إلى الملفات عن طريق برامج غير مصرح بها ، قمت باختباره باستخدام محرر نصوص صغير ومشفّر ملفات بسيط. لقد كتبت هذه بنفسي ، لذلك فهي بالتأكيد ليست على أي قائمة البرامج المعتمدة. بطبيعة الحال CryptoPrevent لم تتفاعل. هذا ليس ما يعنيه القيام به.
بعد ذلك ، قمت بعزل الجهاز الظاهري عن الشبكة بعناية وأصدرت عينات فدية من دزينة من العالم الحقيقي ، واحدة تلو الأخرى. بالنسبة لعينة واحدة ، أبلغت رسالة خطأ Windows عن "قام مسؤول النظام الخاص بك بحظر هذا البرنامج." ومع ذلك ، عندما قمت برفض الرسالة ، حاولت رانسومواري إطلاقها مرة أخرى والظهور مرة أخرى ، مرارًا وتكرارًا ، غثيان إعلاني ، حتى أنهيت جلسة الجهاز الظاهري وعدت إلى حالة نظيفة.
فشلت عينة أخرى ببساطة للعمل ، مع عدم وجود رسالة أو إخطار. لكن بقية العينات مملوكة بالكامل لنظام الاختبار ، حيث تقوم بتشفير الملفات وعرض رسائل تهديد تطالب بفدية لاستعادتها. من الواضح أن الإصدار المجاني لا يوفر الكثير من الحماية. في مواجهة نفس العينات ، أوقفتهم Malwarebytes جميعهم ، وأوقفت Ransomfree جميعها ما عدا واحدة. الحماية الخاصة بفدية الفدية في Acronis True Image 2017 New Generation توقفت أيضًا باستثناء واحدة.
قمت بالترقية إلى الإصدار المميز ، واخترت الحماية القصوى ، وقمت بإجراء هذه الاختبارات مرة أخرى. وكانت النتائج هي نفسها ، مع اختلاف بسيط واحد. عندما جربت عينة الفدية التي فشلت في ظروف غامضة تحت حماية الإصدار المجاني ، تلقيت إشعارًا منبثقًا يفيد بأن سياسات تقييد النظام قد منعت من ذلك. وبالمثل ، فإن العينة التي دخلت في حلقة مع CryptoPrevent تولدت الآن إشعارًا منبثقًا في كل مرة.
يمكنني استخدام محاكي KnowBe4's RanSim ransomware للاختبار أيضًا ، لكنني آخذ نتائجها بحبوب ملح. تزعم بعض الشركات أن برامجها الفدية المحاكاة لا تشبه بدرجة كافية برامج الفدية الفعلية ، لذلك تتجاهلها أنظمة الكشف المستندة إلى السلوك. Ransomfree ، على سبيل المثال ، لا يكتشف أيًا من عمليات المحاكاة ؛ أنا لا أعتبر ذلك سلبيا. ومع ذلك ، اكتشف Malwarebytes Anti-Ransomware Beta ثمانية من 10 ، وحجب Acronis بنشاط تسعة من 10 عمليات محاكاة. أما بالنسبة إلى CryptoPrevent ، فلم يتفاعل مع رانسومواري المحاكاة على الإطلاق.
الحماية بواسطة Honeypot
غالبًا ما يستخدم باحثو البرامج الضارة مصائد مخترقي الشبكات - أجهزة الكمبيوتر المتصلة بالإنترنت بدون حماية أمنية - لالتقاط عينات من البرامج الضارة. يضع نظام مصيدة مخفي CryptoPrevent العشرات من ملفات "الطعم" في مواقع شائعة ، مثل مجلدات سطح المكتب والمستندات. عندما قمت بتمكين هذه الميزة ، تلقيت تحذيرًا قويًا بأنه يجب علي أيضًا تمكين رمز إعلام الوصول السريع ، وأنه إذا لم أقم بذلك ، فسوف يقوم CryptoPrevent بإيقاف تشغيل النظام دون سابق إنذار عند الكشف عن برامج الفدية. لقد قمت بالفعل بتمكين هذه الميزة ، لذلك لم يكن لدي أي قلق.
أول ما لاحظته عند تمكين مصيدة honeypot هو أن سطح المكتب ملئ تمامًا بالأيقونات. أضاف CryptoPrevent حوالي 80 ملفًا إلى سطح المكتب ومجلد المستندات ومناطق أخرى. (نعم ، لقد قمت بتعيين Windows لعرض الملفات المخفية ؛ أليس كذلك؟) لم أكن سعيدًا على الإطلاق باستخدام البرنامج الذي اغتصب سطح المكتب الخاص بي ، لكنني تابعت الاختبار.
النتائج لم تكن مشجعة. تمت متابعة عينة واحدة دون تدخل ، وتشفير جميع ملفات الطعم والملفات الأخرى ، وعرض مذكرة الفدية بتحد. في حالتين ، اكتشف CryptoPrevent نشاط رانسومواري. ينصح على الفور بإغلاق النظام والسعي للحصول على مساعدة الخبراء للتعامل مع الإصابة. ولكن في إحدى هاتين الحالتين ، وجدت أن رانسومواري قد شفر جميع الملفات الضعيفة (أو كلها تقريبًا) قبل الكشف عنها. على النقيض من ذلك ، قام كل من Ransomfree و Malwarebytes و Acronis بإيقاف نشاط رانسومواري قبل أن يتسبب في ضرر كبير. في بعض الحالات ، يتم تشفير عدد قليل من الملفات المشفرة ، ولكن عدد قليل منها.
تدخلية وغير فعالة
أوصي بشدة بتزويد برنامج مكافحة الفيروسات العادي بأداة مساعدة تهدف بشكل خاص إلى الكشف عن برامج الفدية التي قد يفوتها برنامج مكافحة الفيروسات. لكنني لا أوصي CryptoPrevent Premium 8 لهذا الغرض. حسب إرشاداتها الخاصة ، يمكن أن تتداخل مع التشغيل العادي للبرنامج ، ويجب إيقاف تشغيل مستويات الحماية الأعلى إذا كنت ترغب في تثبيت البرامج أو إلغاء تثبيتها. في الاختبار ، حطت ميزة honeypot سطح مكتبي بأيقونات أكثر مما كانت مناسبة. وحتى على أعلى مستوى من الحماية ، لم يمنع التشفير بواسطة بعض عينات فدية العالم الحقيقي.
تشير جهة الاتصال الخاصة بي في Foolish IT إلى أن هذا المنتج يهدف إلى العمل إلى جانب برامج مكافحة الفيروسات الموجودة ، وليس من تلقاء نفسه. وتوصي الشركة بشدة بالاحتفاظ بنسخة احتياطية كاملة ومحدثة كأفضل حماية. ومع ذلك ، فإن المنتجات المنافسة تؤدي المهمة التي لا تقوم بها CryptoPrevent.
إذا كنت ستستكمل برنامج الحماية من الفيروسات الخاص بك بحماية Ransomware ، فأنت تريد شيئًا غير مزعج بقدر الإمكان ، وهو ما يؤدي المهمة المقصودة. يتناسب كل من Cybereason RansomFree و Malwarebytes Anti-Ransomware Beta مع الملف الشخصي ، كما أنهما مجانيان. في الواقع ، أنا أشغل كلاهما على جهاز الكمبيوتر الرئيسي الخاص بي ، وأكمل الحماية من الفيروسات الرئيسية.
