Tichý, smrtící a neustále se vyvíjející, ransomware není nikdy daleko od titulků. Můžeme očekávat, že se McAfee chtějí chlubit svým volným McAfee Ransomware Interceptor, ale místo toho je hluboko pohřben na internetových stránkách bezpečnostní společnosti.
Jedním z důvodů by mohlo být to, že Interceptor je stále uveden jako „pilot“, což je spíše experimentální nástroj proti výkupu zboží než plnohodnotný produkt. Nezdá se, že by se toho hodně experimentovalo, neboť poslední aktualizace v době psaní byla 18. května 2017.
- Zde se můžete přihlásit k McAfee Ransomware Interceptoru
Oficiální stránka FAQ Interceptoru upozorňuje na další problém: Interceptor není pokryt technickou podporou společnosti McAfee. Pokud máte nějaké problémy, můžete být na vlastní pěst.
To nutně neznamená, že Interceptor nemá žádnou hodnotu. Webová stránka vysvětluje, že „využívá heuristiku a strojové učení“ k identifikaci hrozeb namísto použití jednoduchých podpisů, které by umožnily programu blokovat i zcela nové a neobjevené hrozby.
Druhou výhodou je, že tento přístup k monitorování chování zpravidla není v rozporu s jinými antivirovými nástroji, což vám umožní spustit Interceptor spolu s téměř cokoli, abyste přidali další vrstvu ochrany proti ransomwaru. Možná je to trochu zastaralé a možná Interceptor detekuje jen několik dalších hrozeb, ale program pravděpodobně nebude mít nějaké problémy a může vás celkově trochu bezpečnější.
To je nejlepší scénář, ale Interceptor opravdu má to, co je potřeba k identifikaci ransomwaru z jeho chování samotného? Budete muset stáhnout a nainstalovat program, abyste zjistili více.
- Jedná se o nejlepší bezplatný anti-ransomware nástroj
Založit
McAfee Ransomware Interceptor je zdarma k použití, bez nutnosti registrace nebo jiných potíží. Navštivte webovou stránku, zvolte 32 nebo 64bitovou verzi, přečtěte si licenci a program můžete stáhnout kliknutím.
Instalační program je velmi kompaktní 3.3 MB, což je pravděpodobně důvod, proč se nastavovací proces ukázal jako velmi jednoduchý, bez absolutních nastavení nebo možností, které je třeba zvážit. Krátce jsme se obávali, když se objevilo okno příkazu a zdálo se, že instalace se zastaví, aniž by se nic stalo déle než minutu. Ale pak okno zmizelo, instalátor nám doporučil restartovat náš zkušební systém a normálně se zavřel.
Přes malý instalační program, Ransomware Interceptor zaujal spravedlivou část místa na disku. Většina z nich byla 310MB obsazená základním řídícím systémem McAfee. hlavní soubory programu trvaly pouze 17 MB.
Balíček byl mnohem lehčí, pokud jde o využití paměti RAM, přičemž jeho tři procesy na pozadí mají za normálních okolností sotva 11 MB a žádný významný čas CPU. Pravděpodobně to nebude produkt, který vás zpomaluje.
Malware se někdy pokusí detekovat a zakázat nástroje zabezpečení tím, že zavře procesy, odstraní soubory nebo klíče registru. To může být překvapivě snadné – viděli jsme některé antivirové balíčky, které lze zabít ze dávkového souboru – a proto vždy zjišťujeme, jak může bezpečnostní software chránit svůj vlastní kód.
Výsledky nepůsobily, alespoň zpočátku, když jsme zjistili, že útočník s administrátorskými právy by mohl vymazat většinu řídících rámců společnosti McAfee.
Samozřejmě, abyste byli spravedliví, pokud je ve vašem systému spuštěn škodlivý kód s právy administrátora, pak už máte velké potíže. A i když se nám podařilo způsobit nějaké škody, zůstaly k dispozici soubory podpory společnosti McCafe SystemCore a Interceptor pokračovala běžným způsobem.
Existuje jen malá známka aktivit společnosti Interceptor, neboť program nemá žádné skutečné rozhraní nad ikonou systému, která obsahuje pouze tři nástroje pro správu. Mohli bychom zapnout nebo vypnout ochranu, zapsat seznam důvěryhodných programů, aby nedošlo k jejich zablokování v budoucnosti, nebo zobrazit protokol detekce, abyste zjistili, co Interceptor udělal.
Nezískáváte tak žádnou významnou kontrolu nad tím, jak balíček funguje, tak jako u některých soutěží. Programy s povoleným přístupem nebo vypnutí Interceptoru jsou vaše jediné možnosti.
Navzdory extrémně základnímu rozhraní jsme zaznamenali i malý nedostatek. Právě nyní Interceptor zobrazuje stejnou ikonu na hlavním panelu, ať už je aktivní nebo ne, a jediný způsob, jak můžete vidět jeho stav, je kliknout pravým tlačítkem myši na ikonu a zkontrolovat její nabídku. Raději bychom viděli změnu ikony – možná zelenou pro aktivní, červenou pro neaktivní – což vám umožní vidět stav Interceptoru na první pohled.
Výkon
Testování antivirového softwaru založeného na chování je vždy obtížné. Jejich hodnota je v tvrzení, že mohou detekovat malware, který dosud neexistuje, ale je těžké ji posoudit, pokud nemáte široký přístup k nejnovějším hrozbám.
Začali jsme s jednodušším přístupem a testovali jsme Interceptor proti Cerberovi, známému kmenu ransomware. Výsledky byly vynikající a Interceptor zablokoval proces Cerber předtím, než mohl šifrovat jediný soubor a zobrazit varování. To není překvapení – předpokládáme, že McAfee navrhl Interceptor, aby hledal hrozby jako Cerber – ale ukazuje, že program nabízí nějakou užitečnou ochranu.
Dále jsme se obrátili na RanSim, KnowBe4 bezplatný simulátor ransomwaru. Toto spouští různé testy s použitím různých typů chování podobné ransomwaru a říká, které z nich byly zablokovány.
Když jsme se naposledy podívali na Interceptor, nezjistila jsem žádný z 14 scénářů útoku RanSimu. Tento test ukázal určité zlepšení, přičemž dva útoky byly zablokovány, ale stále jsme zranitelné vůči ostatním 12 scénářům. Není to tak alarmující, jak to zní – všechny scénáře nejsou stejné a je naprosto možné, že dvě detekce od Interceptoru budou stačit k tomu, aby zablokovaly většinu ransomwaru v reálném světě – ale viděli jsme, že další bezpečnostní nástroje dosahují vyššího skóre.
Nakonec jsme se obrátili na velmi jednoduchý ransomwarový simulátor našeho vlastního. Je to mnohem základnější než RanSim, s jediným typem útoku, který se skrývá pomocí testovací sady složek, detekuje a šifruje mnoho běžných typů dokumentů. Ale protože to nebylo nikdy uvolněno, víme, že vývojáři McAfee Ransomware Interceptoru už předtím neviděli, takže je zajímavým testem sledování chování Interceptoru a heuristiky.
Bohužel to byl test, který Interceptor komplexně selhal. Náš simulátor mohl být dokončen a úspěšně zakódován každý uživatelský dokument a soubor v našem testovacím stromu.
Tyto výsledky je třeba interpretovat opatrně. RanSim může používat akce podobně jako ransomware, ale pracoval pouze na vlastních vzorových souborech, takže naše nedotčené. Interceptor pravděpodobně učinil správné rozhodnutí tím, že dovolil běh.
Myslíme si, že RanTest je pravděpodobně závažnějším selháním, protože dokázal zašifrovat tisíce skutečných souborů do našeho testovacího systému. Není to skutečný ransomware a jen se skrze jediný zkušební strom, takže je možné, že program nesplnil prahovou hodnotu Interceptoru pro detekci.
Ale další antivirové a anti-ransomware nástroje obecně zablokují náš simulátor hned, například Kaspersky Anti-Virus 2019 nejenže spatřuje hrozbu a zabíjí proces, ale také obnovuje hrstka souborů, které se mu podařilo šifrovat před zastavením.
Interceptor si zaslouží významný zásluh pro zablokování ransomwaru v reálném světě a to je test, který má nejdůležitější význam. Program z velké části selhal s našimi simulovanými hrozbami, ale může ještě zvýšit vaši bezpečnost, a to bez konfliktu s jinými aplikacemi pro zabezpečení.
Konečný verdikt
Ransomware Interceptor je jednoduchý, ultralehký a blokuje bezproblémový ransomware v reálném světě. Není to tak efektivní se simulovanými hrozbami, jako jsou špičkové antivirové programy, ale stále by stálo za to, že je to druhá úroveň zabezpečení.
- To je nejlepší antivirový software roku 2018
