Ciche, zabójcze i stale ewoluujące oprogramowanie ransomware nigdy nie jest daleko od nagłówków. Można się jednak spodziewać, że McAfee będzie chwalić się swoim darmowym McAfee Ransomware Interceptor, ale zamiast tego jest pochowany głęboko w witrynie firmy ochroniarskiej.
Jednym z powodów może być to, że Interceptor wciąż jest wymieniony jako „pilot”, bardziej eksperymentalne narzędzie przeciwdziałające ransomware niż produkt o pełnej mocy. Wydaje się również, że nie ma zbyt wiele eksperymentów, ponieważ ostatnią aktualizacją w momencie pisania było 18 maja 2017 r.
- Możesz zarejestrować się w programie McAfee Ransomware Interceptor tutaj
Oficjalna strona FAQ Interceptora wskazuje na inny problem: Interceptor nie jest objęty wsparciem technicznym firmy McAfee. Jeśli masz jakiekolwiek problemy, możesz być sam.
To niekoniecznie oznacza, że Interceptor nie ma żadnej wartości. Witryna wyjaśnia, że ”wykorzystuje heurystykę i uczenie maszynowe” do identyfikowania zagrożeń, zamiast używać prostych sygnatur, które mogłyby pozwolić programowi blokować nawet zupełnie nowe i nieodkryte zagrożenia.
Drugą zaletą jest to, że takie podejście do monitorowania zachowania zwykle nie jest w konflikcie z innymi narzędziami antywirusowymi, pozwalając na uruchomienie Interceptora obok prawie wszystkiego, aby dodać dodatkową warstwę ochrony przed oprogramowaniem ransomware. Być może jest trochę nieaktualny i być może Interceptor wykryje tylko kilka dodatkowych zagrożeń, ale program prawdopodobnie nie spowoduje żadnych problemów i może sprawić, że będziesz trochę bezpieczniejszy ogólnie.
W każdym razie jest to najlepszy scenariusz, ale czy Interceptor naprawdę ma to, czego potrzeba, aby zidentyfikować oprogramowanie ransomware wyłącznie na podstawie jego zachowania? Musielibyśmy pobrać i zainstalować program, aby dowiedzieć się więcej.
- To najlepsze darmowe narzędzia anty-okupowe
Ustawiać
McAfee Ransomware Interceptor jest darmowy dla każdego, bez potrzeby rejestracji i innych kłopotów. Odwiedź stronę internetową, wybierz wersję 32- lub 64-bitową, przeczytaj licencję i możesz pobrać program jednym kliknięciem.
Instalator ma bardzo niewielkie 3,3 MB, dlatego prawdopodobnie proces instalacji okazał się bardzo prosty, bez absolutnie żadnych ustawień i opcji do rozważenia. Byliśmy bardzo zaniepokojeni, gdy pojawiło się okno poleceń i instalacja wydawała się zatrzymywać, nic się nie działo przez więcej niż minutę. Ale wtedy okno zniknęło, instalator poradził nam, abyśmy zrestartowali nasz system testowy i zamknęli normalnie.
Pomimo niewielkiego programu instalacyjnego, Ransomware Interceptor zajmował sporą część miejsca na dysku. Większość z tego to 310 MB zajmowane przez podstawowe zasady zarządzania McAfee; główne pliki programu zajęły zaledwie 17 MB.
Pakiet był znacznie lżejszy pod względem wykorzystania pamięci RAM, a jego trzy procesy tła pobierały zaledwie 11 MB między sobą w normalnych warunkach, bez znaczącego czasu procesora. To prawdopodobnie nie będzie produkt, który spowalnia Cię.
Złośliwe oprogramowanie czasami próbuje wykryć i wyłączyć narzędzia bezpieczeństwa, zamykając procesy, usuwając pliki lub klucze rejestru. To może być zaskakująco proste – widzieliśmy kilka pakietów antywirusowych, które można zabić z pliku wsadowego – i dlatego zawsze sprawdzamy, w jakim stopniu oprogramowanie zabezpieczające może chronić swój własny kod.
Wyniki nie zrobiły wrażenia, przynajmniej początkowo, kiedy odkryliśmy, że osoba atakująca z uprawnieniami administratora może usunąć większość ram zarządzania McAfee.
Oczywiście, aby być uczciwym, jeśli w Twoim systemie działa złośliwy kod z prawami administratora, masz już poważne kłopoty. I chociaż udało nam się wyrządzić pewne szkody, pliki wsparcia SystemCore firmy McAfee pozostały dostępne, a Interceptor nadal działał normalnie.
Niewiele widać działań Interceptora, ponieważ program nie ma prawdziwego interfejsu poza pojedynczą ikoną paska zadań, która zawiera tylko trzy narzędzia do zarządzania. Możemy włączać i wyłączać ochronę, dodawać do białej listy zaufany program, aby zapobiec jego blokowaniu w przyszłości, lub przeglądać dziennik wykrywania, aby zobaczyć, co zrobił Interceptor.
Nie masz żadnej znaczącej kontroli nad działaniem pakietu, a tak jak w przypadku niektórych konkurencji. Białe listy lub wyłączenie Interceptora są jedynymi opcjami.
Pomimo niezwykle podstawowego interfejsu, zauważyliśmy również niewielki niedobór. Teraz Interceptor wyświetla tę samą ikonę w zasobniku systemowym, niezależnie od tego, czy jest aktywna, czy nie, a jedynym sposobem, w jaki możesz zobaczyć jej stan, jest kliknięcie prawym przyciskiem myszy ikony i sprawdzenie jej menu. Chcielibyśmy, aby ikona zmieniła się – być może zielona dla aktywnej, czerwona dla nieaktywnej – pozwalając zobaczyć status Interceptora na pierwszy rzut oka.
Wydajność
Testowanie oprogramowania anty-ransomware opartego na zachowaniu jest zawsze trudne. Ich wartość polega na tym, że potrafią wykryć złośliwe oprogramowanie, które jeszcze nie istnieje, ale trudno to ocenić, chyba że masz szeroki dostęp do najnowszych zagrożeń.
Zaczęliśmy od prostszego podejścia, testując Interceptor przeciwko Cerberowi, znanemu szczepowi oprogramowania ransomware. Wyniki były doskonałe, ponieważ Interceptor blokował proces Cerbera, zanim mógł zaszyfrować pojedynczy plik i wyświetlał alert. Nic dziwnego – spodziewalibyśmy się, że McAfee zaprojektował Interceptor, aby szukać zagrożeń takich jak Cerber – ale pokazuje, że program oferuje pewną użyteczną ochronę.
Następnie zwróciliśmy się do symulatora RanSim, darmowego oprogramowania ransomware KnowBe4. To uruchamia różne testy przy użyciu różnych typów zachowań typu „ransomware” i informuje o tym, które zostały zablokowane.
Ostatnim razem, gdy spojrzeliśmy na Interceptor, nie udało się wykryć żadnego z 14 scenariuszy ataku RanSima. Test ten wykazał pewną poprawę, gdy dwa ataki zostały zablokowane, ale wciąż byliśmy podatni na inne 12 scenariuszy. To nie jest tak alarmujące, jak się wydaje – wszystkie scenariusze nie są równe, i jest całkiem możliwe, że dwa detekcje Interceptora wystarczą, by zablokować większość oprogramowania ransomware w świecie rzeczywistym – ale widzieliśmy, że inne narzędzia bezpieczeństwa mają wyższy wynik.
W końcu zwróciliśmy się do bardzo prostego symulatora ransomware. Jest znacznie bardziej podstawowy niż RanSim, z pojedynczym trybem ataku, spideringiem przez zestaw testowy folderów, wykrywaniem i szyfrowaniem wielu popularnych typów dokumentów. Ale ponieważ nigdy nie został wydany, wiemy, że jest to coś, czego twórcy McAfee Ransomware Interceptor już wcześniej nie widzieli, co czyni go interesującym testem monitorowania zachowania i heurystyki Interceptora.
Niestety, był to test, który Interceptor kompletnie zawiódł. Nasz symulator mógł działać do końca i pomyślnie zaszyfrować każdy dokument użytkownika i plik w naszym drzewie testowym.
Musimy zinterpretować te wyniki ostrożnie. RanSim może używać akcji podobnych do ransomware, ale działa tylko na własnych przykładowych plikach, pozostawiając naszą nietkniętą. Interceptor prawdopodobnie podjął właściwą decyzję, pozwalając jej działać.
Uważamy, że RanTest jest prawdopodobnie bardziej znaczącą porażką, ponieważ był w stanie zaszyfrować tysiące prawdziwych plików w naszym systemie testowym. To nie jest prawdziwe oprogramowanie ransomware i jest obsługiwane tylko przez jedno drzewo testowe, więc możliwe jest, że program nie spełnia progu wykrywania Interceptora.
Jednak inne narzędzia antywirusowe i anty-ransomware blokują od razu nasz symulator, na przykład Kaspersky Antivirus 2019 nie tylko dostrzega zagrożenie i zabija proces, ale także odzyskuje garść plików, które udało się zaszyfrować przed zatrzymaniem.
Interceptor wciąż zasługuje na duże uznanie za blokowanie prawdziwego oprogramowania ransomware, a to jest test, który ma największe znaczenie. Program w dużym stopniu zawiodł w przypadku symulowanych zagrożeń, ale może jeszcze poprawić bezpieczeństwo i zrobić to bez powodowania konfliktów z innymi aplikacjami zabezpieczającymi.
Ostateczny werdykt
Ransomware Interceptor jest prosty, ultralekki i bez problemu blokuje prawdziwe oprogramowanie ransomware. Nie jest tak skuteczny w przypadku symulowanych zagrożeń, jak w najlepszych silnikach antywirusowych, ale może być nadal warty instalacji jako druga warstwa zabezpieczeń.
- To najlepsze oprogramowanie antywirusowe 2018
