Tabla de contenido:
Video: CryptoPrevent Premium (Noviembre 2024)
No es ningún secreto que el ransomware es un gran problema, y los productos que tienen como objetivo proteger contra el ransomware se están volviendo cada vez más populares. Muchas de estas herramientas son nuevas respuestas a la amenaza, pero CryptoPrevent Premium 8, de Foolish IT, ha estado luchando contra el ransomware desde 2013, cuando puso su mira en CryptoLocker. Sin embargo, en las pruebas, resultó ser mucho más complicado que los productos específicos de ransomware de la competencia, y mucho menos efectivo.
Al igual que RansomFree y Malwarebytes Anti-Ransomware, CryptoPrevent no está diseñado para usarse en el vacío. Más bien, el punto es usarlo junto con su protección existente, para eliminar cualquier ransomware que se deslice más allá de su antivirus habitual. Eso tiene mucho sentido. Siempre es posible que el malware de cualquier tipo pueda eludir temporalmente la protección antivirus, pero eventualmente una actualización antivirus lo borra. Sin embargo, incluso si el antivirus elimina el ransomware ex post facto, no puede descifrar sus archivos.
En 2013, CryptoLocker surgió como la primera gran amenaza de ransomware. Los desarrolladores de Foolish IT idearon originalmente CryptoPrevent para combatir esa amenaza cibernética en particular, e imagino que hizo un buen trabajo, en el pasado. Sin embargo, el ransomware sigue evolucionando, y CryptoLocker se ha quedado en el camino. Como explicaré, las pruebas indican que CryptoPrevent no ha seguido esa evolución.
Configurar CryptoPrevent
Comencé instalando la edición gratuita del producto. La diferencia entre esta utilidad y otras herramientas específicas de ransomware fue inmediatamente evidente. Donde Cybereason RansomFree y Malwarebytes funcionan en segundo plano, con un mínimo de interacción del usuario, la ventana principal de CryptoPrevent tiene siete pestañas, cada una repleta de configuraciones. La más importante de ellas es la pestaña principal, denominada Aplicar protección, que le permite elegir un plan de protección.
En el primer lanzamiento, el plan de protección se establece en Ninguno, lo que significa que el programa está inactivo. En el nivel mínimo, promete bloquear CryptoLocker y posiblemente otro malware, pero no amenazas más recientes. Cuando se establece en Predeterminado, ofrece protección contra una variedad de amenazas de malware, pero aún no necesariamente el ransomware más nuevo. En el nivel Máximo, el más alto disponible en la edición gratuita, advierte que deberá desactivar la protección al instalar o desinstalar software; no hace promesas específicas sobre ransomware.
Al hacer clic en la pestaña Configuración de protección, aparece una ventana con cinco subpestañas, algunas de las cuales tienen sus propias subpestañas. Sí, es muy diferente de la competencia. La pestaña Políticas de restricción de software evita el inicio de programas desde áreas específicas del sistema que normalmente no incluyen archivos ejecutables, como carpetas temporales. Tenga en cuenta que las Políticas de restricción de software es una característica de Windows, administrada por CryptoPrevent.
Cuando vi la pestaña FolderWatch, primero asumí que CryptoPrevent evitaría que programas no autorizados cambien archivos en las carpetas protegidas, que incluyen las carpetas Escritorio y Documentos. Panda Internet Security e IObit impiden todo acceso, incluso el acceso de solo lectura, en carpetas protegidas. Como explicó mi contacto en la compañía, no es así como funciona CryptoPrevent. Más bien, escanea cualquier archivo que se haya caído en estas áreas y pone en cuarentena los que reconoce como malware.
Cuando elige y aplica un plan de protección, CryptoPrevent ofrece incluir en la lista blanca los programas existentes en las áreas protegidas. Eso tiene sentido; de lo contrario, lo encontrarás bloqueando programas legítimos.
Pagar la suscripción de $ 15 pone a disposición un plan de protección más, llamado Extreme. Al igual que con el nivel Máximo, el programa recomienda desactivar la protección para instalar o desinstalar programas, y observa además que puede interferir con el software legítimo. En el nivel extremo, el icono de notificación de inicio rápido, con su menú masivo, está disponible. No recibe las mismas notificaciones en la edición gratuita.
En el nivel extremo, la función FolderWatch HoneyPot también está disponible. Esta función beta llena las ubicaciones típicas de ataque de ransomware con archivos de cebo. Más sobre el honeypot más tarde.
Probar CryptoPrevent
Como se señaló, comencé instalando la edición gratuita. Antes de darme cuenta de que FolderWatch no tenía como objetivo evitar el acceso a archivos por programas no autorizados, lo probé con un pequeño editor de texto y un simple encriptador de archivos. Los escribí yo mismo, por lo que definitivamente no están en ninguna lista de programas aprobados. Naturalmente, CryptoPrevent no reaccionó; eso no es lo que debe hacer.
A continuación, aislé cuidadosamente la máquina virtual de la red y lancé media docena de muestras de ransomware del mundo real, una a la vez. Para una muestra, un mensaje de error de Windows informó "El administrador del sistema ha bloqueado este programa". Sin embargo, cuando descarté el mensaje, el ransomware intentó volver a iniciarse y el mensaje reapareció, una y otra vez, hasta la saciedad, hasta que terminé la sesión de la máquina virtual y volví a un estado limpio.
Otra muestra simplemente no funcionó, sin mensaje ni notificación. Pero el resto de las muestras poseían completamente el sistema de prueba, cifrando archivos y mostrando mensajes amenazantes que exigían un rescate para recuperarlos. Claramente, la edición gratuita no ofrece mucha protección. Enfrentados con las mismas muestras, Malwarebytes los detuvo a todos, y Ransomfree detuvo a todos menos a uno. La protección específica contra ransomware en Acronis True Image 2017 New Generation también detuvo a todos menos uno.
Actualicé a la edición Premium, elegí Protección extrema y volví a ejecutar estas pruebas. Los resultados fueron los mismos, con una pequeña diferencia. Cuando probé la muestra de ransomware que misteriosamente falló bajo la protección de la edición gratuita, recibí una notificación emergente informando que las Políticas de restricción del sistema lo bloquearon. Del mismo modo, la muestra que entró en un ciclo con CryptoPrevent ahora generó una notificación emergente cada vez.
También uso el simulador de ransomware RanSim de KnowBe4 para realizar pruebas, pero tomo sus resultados con un grano de sal. Algunas compañías argumentan que su ransomware simulado no es lo suficientemente similar al ransomware real, por lo que sus sistemas de detección basados en el comportamiento lo ignoran. Ransomfree, por ejemplo, no detecta ninguna de las simulaciones; No trato eso como algo negativo. Sin embargo, Malwarebytes Anti-Ransomware Beta detectó ocho de los 10, y Acronis bloqueó activamente nueve de las 10 simulaciones. En cuanto a CryptoPrevent, no reaccionó en absoluto al ransomware simulado.
Protección por Honeypot
Los investigadores de malware a menudo usan honeypots , computadoras conectadas a Internet sin protección de seguridad, para capturar muestras de malware. El sistema honeypot de CryptoPrevent coloca docenas de archivos de "cebo" en ubicaciones populares, como las carpetas Escritorio y Documentos. Cuando habilité esta función, recibí una fuerte advertencia de que también debía habilitar el ícono de notificación de Acceso rápido, y que si no lo hacía, CryptoPrevent cerraría el sistema sin avisar sobre la detección de ransomware. Ya había habilitado esa función, así que no me preocupaba.
Lo primero que noté al habilitar el honeypot fue que mi escritorio se llenó absolutamente y se llenó de íconos. CryptoPrevent agregó alrededor de 80 archivos al escritorio, la carpeta Documentos y otras áreas. (Sí, tengo Windows configurado para mostrar archivos ocultos; ¿no?) No estaba nada contento con el programa usurpando mi escritorio, pero procedí con las pruebas.
Los resultados no fueron alentadores. Una muestra procedió sin interferencia, encriptando todos los archivos de cebo y otros archivos, y mostrando desafiantemente su nota de rescate. En dos casos, CryptoPrevent detectó actividad de ransomware. Aconsejó apagar inmediatamente el sistema y buscar ayuda experta para lidiar con la infestación. Pero en uno de esos dos casos, descubrí que el ransomware había cifrado todos (o casi todos) los archivos vulnerables antes de la detección. Por el contrario, Ransomfree, Malwarebytes y Acronis cerraron la actividad del ransomware antes de que pudiera causar mucho daño. En algunos casos, algunos archivos terminaron encriptados, pero solo unos pocos.
Intrusivo e ineficaz
Le recomiendo complementar su antivirus común con una utilidad específicamente destinada a detectar ransomware que el antivirus podría perder. Pero no recomiendo CryptoPrevent Premium 8 para ese propósito. Como admiten sus propias instrucciones, puede interferir con el funcionamiento normal del programa, y sus niveles de protección más altos deben desactivarse si desea instalar o desinstalar programas. En las pruebas, su función honeypot destrozó mi escritorio con más iconos de los que cabría. E incluso al más alto nivel de protección, no impidió el cifrado por algunas muestras de ransomware del mundo real.
Mi contacto en Foolish IT señala que este producto tiene como objetivo trabajar junto con el antivirus existente, no solo. Y la compañía recomienda encarecidamente mantener una copia de seguridad completa y actualizada como la mejor protección. Aun así, los productos de la competencia hacen el trabajo que CryptoPrevent no hace.
Si va a complementar su antivirus con protección contra ransomware, desea algo lo más discreto posible, y que haga el trabajo previsto. Cybereason RansomFree y Malwarebytes Anti-Ransomware Beta se ajustan al perfil, y son gratuitos. De hecho, estoy ejecutando ambos en mi computadora principal, complementando mi protección antivirus principal.
