Тихая, смертельная и постоянно развивающаяся, выкупная техника никогда не бывает далека от заголовков. Вы могли бы ожидать, что McAfee захочет похвастаться своим свободным McAfee Ransomware Interceptor, но вместо этого он похоронен глубоко на веб-сайте охранной компании.
Одна из причин может заключаться в том, что Interceptor по-прежнему отображается как «пилот», а скорее экспериментальный инструмент против вымогательства, чем полноценный продукт. Похоже, что не так много экспериментов, как последнее обновление на момент написания статьи было 18 мая 2017 года.
- Вы можете подписаться на McAfee Ransomware Interceptor здесь
На официальной странице часто задаваемых вопросов перехватчика указывается другая проблема: Interceptor не покрывается технической поддержкой McAfee. Если у вас есть какие-либо проблемы, вы можете быть сами по себе.
Это не обязательно означает, что Interceptor не имеет значения. Веб-сайт объясняет, что он «использует эвристику и машинное обучение» для выявления угроз, а не для использования простых подписей, что может позволить программе блокировать даже новые и неоткрытые угрозы.
Второе преимущество заключается в том, что такой подход к мониторингу поведения обычно не конфликтует с другими антивирусными инструментами, позволяя вам запускать Interceptor рядом с почти чем угодно, чтобы добавить дополнительный уровень защиты от вымогательства. Возможно, это немного устарело, и, возможно, Interceptor обнаруживает несколько дополнительных угроз, но программа вряд ли вызовет какие-либо проблемы и может сделать вас немного более безопасным в целом.
В любом случае, это лучший сценарий, но действительно ли у Interceptor есть то, что нужно, чтобы идентифицировать ransomware от его поведения в одиночку? Нам нужно будет скачать и установить программу, чтобы узнать больше.
- Это лучшие бесплатные инструменты для защиты от передозировки
Настроить
McAfee Ransomware Interceptor является бесплатным для тех, кто может пользоваться, без регистрации или других проблем. Посетите веб-сайт, выберите 32 или 64-разрядную версию, прочитайте лицензию, и вы можете загрузить программу одним щелчком.
Установщик очень компактный 3,3 МБ, поэтому, вероятно, процесс установки оказался очень простым, без каких-либо настроек и параметров. Мы были вкратце обеспокоены, когда появилось окно команд, и установка, казалось, остановилась, и ничего больше не происходит более минуты. Но затем окно исчезло, установщик посоветовал нам перезагрузить нашу тестовую систему и нормально закрылся.
Несмотря на крошечную программу установки, Ransomware Interceptor занял довольно много места на диске. Однако большинство из них было 310 МБ, занятое основной базой управления McAfee; основные файлы программы заняли всего 17 МБ.
Пакет был намного легче с точки зрения использования ОЗУ, при этом его три фоновых процесса занимали всего 11 МБ между ними при нормальных условиях и не имели значительного времени процессора. Это, вероятно, не будет продуктом, который замедлит вас.
Иногда вредоносные программы пытаются обнаружить и отключить инструменты безопасности, закрыв процессы, удалив файлы или ключи реестра. Это может быть удивительно просто — мы увидели некоторые антивирусные пакеты, которые можно убить из пакетного файла, и поэтому мы всегда проверяем, насколько хорошо программное обеспечение безопасности может защитить свой собственный код.
Результаты не впечатлили, по крайней мере, изначально, когда мы обнаружили, что злоумышленник с привилегиями администратора может удалить большую часть инфраструктуры управления McAfee.
Конечно, если честно, если вредоносный код работает в вашей системе с правами администратора, то у вас уже большие проблемы. И хотя нам удалось нанести какой-то ущерб, файлы поддержки McAfee SystemCore оставались доступными, и Interceptor продолжал работать как обычно.
Существует мало признаков активности Interceptor, так как у программы нет реального интерфейса за пределами одного значка в системном трее, который содержит всего три инструмента управления. Мы могли бы включать и отключать защиту, белизть доверенной программы, чтобы предотвратить ее блокировку в будущем, или просмотреть журнал обнаружения, чтобы узнать, что сделал Interceptor.
Вы не получаете никакого значительного контроля над тем, как работает пакет, то, как и в случае с некоторыми конкурентами. Белые списки программ или включение Interceptor — это ваши единственные варианты.
Несмотря на его чрезвычайно простой интерфейс, мы также заметили незначительный недостаток. Прямо сейчас, Interceptor отображает тот же значок в системном трее, независимо от того, активен он или нет, и единственный способ увидеть его статус — щелкнуть правой кнопкой мыши по значку и проверить его меню. Мы предпочли бы увидеть изменение значка — возможно, зеленое для активного, красное для неактивного — позволяя вам увидеть статус перехватчика с первого взгляда.
Представление
Тестирование программного обеспечения для защиты от перепрограммирования всегда сложно. Их ценность заключается в том, что они могут обнаруживать вредоносное ПО, которого еще нет, но это сложно оценить, если у вас нет широкого доступа к самым последним угрозам.
Мы начали с более простого подхода, тестируя Interceptor против Cerber, известного штампа ransomware. Результаты были превосходными, поскольку Interceptor блокировал процесс Cerber, прежде чем он мог зашифровать один файл и отобразить предупреждение. Это неудивительно — мы ожидаем, что McAfee разработает Interceptor для поиска угроз, таких как Cerber, но он показывает, что программа предлагает некоторую полезную защиту.
Затем мы обратились к RanSim, бесплатному симулятору Ransomware KnowBe4. Это запускает различные тесты с использованием различных типов поведения, подобных высказываниям, и сообщает вам, какие из них были заблокированы.
В последний раз, когда мы смотрели на Interceptor, он не смог обнаружить ни один из 14 сценариев атаки RanSim. Этот тест показал некоторое улучшение, причем две атаки были заблокированы, но мы все еще были уязвимы для остальных 12 сценариев. Это не так тревожно, как кажется — все сценарии не равны, и вполне возможно, что двух детекторов Interceptor будет достаточно, чтобы блокировать большинство выкупов реального мира, но мы видели, что другие инструменты безопасности выше.
Наконец, мы обратились к очень простому симулятору-вымогателю. Это гораздо более простой, чем RanSim, с единственным режимом атаки, паутиной через тестовый набор папок, обнаружением и шифрованием многих распространенных типов документов. Но поскольку он никогда не был выпущен, мы знаем, что разработчики McAfee Ransomware Interceptor раньше не видели, что делает его интересным испытанием по контролю и эвристике поведения Interceptor.
К сожалению, это был тест, который Interceptor всесторонне потерпел неудачу. Наш симулятор был разрешен для выполнения и успешно зашифровал каждый пользовательский документ и файл в нашем тестовом дереве.
Мы должны тщательно интерпретировать эти результаты. RanSim может использовать действия, подобные ransomware, но он работает только с собственными образцовыми файлами, оставаясь без изменений. Перехватчик, возможно, принял правильное решение, разрешив ему работать.
Мы считаем, что RanTest, вероятно, является более значительным провалом, поскольку он смог зашифровать тысячи реальных файлов в нашей тестовой системе. Это не настоящая выкупная программа, а только прохождение через одно тестовое дерево, поэтому возможно, что программа не соответствует порогу Interceptor для обнаружения.
Но другие антивирусные и антиресурсные инструменты обычно блокируют наш симулятор сразу, например, Kaspersky Antivirus 2019 не только обнаруживает угрозу и убивает процесс, но и восстанавливает несколько файлов, которые ему удалось зашифровать до их остановки.
Перехватчик по-прежнему заслуживает серьезного признания за блокирование реального выкупа, и это самый важный тест. Программа в значительной степени не удалась с нашими имитируемыми угрозами, но она все же может улучшить вашу безопасность и сделать это, не вызывая конфликтов с другими приложениями безопасности.
Окончательный вердикт
Ransomware Interceptor прост, ультралегкий и без проблем блокирует реальную выкупку. Это не так эффективно с имитируемыми угрозами, как верхние антивирусные ядра, но все равно стоит устанавливать их как второй уровень безопасности.
- Это лучшее антивирусное программное обеспечение 2018 года
