Silent, dødelig og stadig utvikling, ransomware er aldri langt fra overskriftene. Du kan forvente at McAfee vil skryte om sin gratis McAfee Ransomware Interceptor, da, men i stedet er den begravet dypt på sikkerhetsselskapets nettside.
En grunn kan være at Interceptor fortsatt er oppført som en «pilot», mer av et eksperimentelt anti-ransomware-verktøy enn et fullstyrkeprodukt. Det ser ikke ut til å være mye eksperimentering som skjer, heller, siden den siste oppdateringen ved skriving var 18. mai 2017.
- Du kan registrere deg for McAfee Ransomware Interceptor her
Den offisielle Interceptor FAQ-siden peker på et annet problem: Interceptor er ikke dekket av McAfees tekniske støtte. Hvis du har problemer, kan du være alene.
Dette betyr ikke nødvendigvis Interceptor har ingen verdi. Nettstedet forklarer at det «utnytter heuristikk og maskinlæring» for å identifisere trusler, i stedet for å bruke enkle signaturer, noe som kan gjøre det mulig for programmet å blokkere selv helt nye og uoppdagede trusler.
En annen fordel er at denne typen adferdsovervåkingsmetode ikke er i konflikt med andre antivirusverktøy, slik at du kan kjøre Interceptor sammen med nesten alt for å legge til et ekstra lag med ransomware-beskyttelse. Kanskje det er litt utdatert, og kanskje finner Interceptor bare noen få ekstra trusler, men programmet er usannsynlig å forårsake problemer og kan gjøre deg litt tryggere generelt.
Det er det beste tilfellet, uansett, men har Interceptor egentlig det som trengs for å identifisere ransomware fra sin oppførsel alene? Vi må laste ned og installere programmet for å finne ut mer.
- Dette er de beste gratis anti-ransomware verktøyene
Setup
McAfee Ransomware Interceptor er gratis for alle å bruke, uten registrering eller andre problemer. Besøk nettsiden, velg 32 eller 64-biters versjon, les lisensen og du kan laste ned programmet med et klikk.
Installasjonsprogrammet er en veldig kompakt 3,3 MB, som sannsynligvis er grunnen til at installasjonsprosessen virket veldig enkel, uten absolutt ingen innstillinger eller muligheter å vurdere. Vi var kort opptatt når et kommandovindu dukket opp, og installasjonen syntes å pause, uten at noe i det hele tatt skjer i mer enn et minutt. Men da vinduet forsvant, ga installatøren oss råd om å starte opp vårt testsystem, og lukket normalt.
Til tross for det lille oppsettprogrammet hadde Ransomware Interceptor tatt opp en god del diskplass. Mesteparten av dette var 310MB okkupert av McAfees kjernestyringsramme, skjønt; Hovedprogramfilene tok knapt 17 MB.
Pakken var mye lettere når det gjelder RAM-bruk, med sine tre bakgrunnsprosesser som tar knapt 11 MB mellom dem under normale omstendigheter og ingen signifikant CPU-tid. Dette kommer sannsynligvis ikke til å være et produkt som bremser deg.
Malware vil noen ganger prøve å oppdage og deaktivere sikkerhetsverktøy ved å stenge prosesser, slette filer eller registernøkler. Dette kan være overraskende enkelt – vi har sett noen antiviruspakker som kan bli drept fra en batchfil – og derfor sjekker vi alltid hvor godt sikkerhetsprogramvaren kan beskytte sin egen kode.
Resultatene imponerte ikke, i hvert fall først da vi oppdaget at en angriper med Admin-privilegier kunne slette det meste av McAfees ledelsesramme.
Selvfølgelig, for å være rettferdig, hvis skadelig kode kjører på systemet med adminrettigheter, så er du allerede i store problemer. Og selv om vi klarte å forårsake skade, fortsatte McAfees SystemCore-støttefiler, og Interceptor fortsatte å kjøre som normalt.
Det er lite tegn på Interceptors aktiviteter, da programmet ikke har noen ekte grensesnitt utover et enkelt systemstatusikon, som bare inneholder tre administrasjonsverktøy. Vi kunne bytte beskyttelse på og av, hviteliste et pålitelig program for å hindre at det blokkeres i fremtiden, eller se en deteksjonslogg for å se hva Interceptor hadde gjort.
Du får ingen betydelig kontroll over hvordan pakken fungerer, da, som det er tilfellet med noen av konkurrentene. Hvitelistprogrammer eller sving Avbryter er de eneste alternativene du har.
Til tross for det ekstremt grunnleggende grensesnittet, la vi også merke til en mindre mangel. For øyeblikket viser Interceptor det samme ikonet for systemstatusfeltet, enten det er aktivt eller ikke, og den eneste måten du kan se sin status på, er å høyreklikke på ikonet og sjekke menyen. Vi foretrekker å se ikonendringen – kanskje grønn for aktiv, rød for inaktiv – slik at du kan se Interceptors status på et øyeblikk.
Opptreden
Testing av adferdsbasert anti-ransomware-programvare er alltid vanskelig. Deres verdi er i påstanden om at de kan oppdage malware som ikke eksisterer ennå, men det er vanskelig å vurdere med mindre du har bred tilgang til de aller nyeste truslene.
Vi startet med en enklere tilnærming, testing Interceptor mot Cerber, en kjent ransomware-stamme. Resultatene var gode, med Interceptor blokkert Cerber-prosessen før den kunne kryptere en enkelt fil og vise et varsel. Det er ingen overraskelse – vi forventer at McAfee skulle ha designet Interceptor for å se etter trusler som Cerber – men det viser at programmet gir noe nyttig beskyttelse.
Deretter vendte vi oss til RanSim, KnowBe4s gratis ransomware-simulator. Dette kjører ulike tester ved hjelp av ulike typer ransomware-lignende oppførsel, og forteller deg hvilke som er blokkert.
Siste gang vi så på Interceptor, klarte det ikke å oppdage noen av RanSims 14 angrepsscenarier. Denne testen viste noe forbedring, mens to angrep ble blokkert, men vi var fortsatt sårbare overfor de andre 12 scenariene. Dette er ikke så skremmende som det høres ut – alle scenarier er ikke like, og det er helt mulig at Interceptors to detekteringer vil være nok til å blokkere de fleste virkelige ransomware – men vi har sett andre sikkerhetsverktøy som scorer høyere.
Til slutt endret vi til en veldig enkel ransomware-simulator av oss selv. Det er langt mer grunnleggende enn RanSim, med bare en enkelt angrepstilstand, spidering gjennom et testsett med mapper, oppdagelse og kryptering av mange vanlige dokumenttyper. Men som det aldri har blitt utgitt, vet vi at det er noe McAfee Ransomware Interceptor-utviklerne ikke har sett før, noe som gjør det til en interessant test av Interceptors adferdsovervåkning og heuristikk.
Dessverre var det en test som Interceptor falt i stor grad. Vår simulator fikk lov til å løpe til slutt, og vellykket kryptert hvert brukerdokument og -fil i testtreet vårt.
Vi må tolke disse resultatene med forsiktighet. RanSim kan bruke ransomware-lignende handlinger, men det virket bare på sine egne prøvefiler, slik at vi uberørte. Interceptor gjorde nok den riktige avgjørelsen ved å la den løpe.
Vi tror RanTest er sannsynligvis den mer signifikante feilen, da den kunne kryptere tusenvis av ekte filer på vårt testsystem. Det er ikke ekte ransomware og bare spidered gjennom et enkelt testtre, så det er mulig at programmet ikke oppfyller Interceptors terskel for deteksjon.
Men andre antivirus- og anti-ransomware-verktøy blokkerer vår simulator med en gang, med for eksempel Kaspersky Antivirus 2019 ikke bare å spotte trusselen og drepe prosessen, men også å gjenopprette den håndfylte filene den klarte å kryptere før de ble stoppet.
Interceptor fortjener fortsatt stor kreditt for å blokkere virkelige ransomware, og det er testen som betyr mest. Programmet mislyktes i stor grad med våre simulerte trusler, men det kan fortsatt forbedre sikkerheten din, og gjør det uten å forårsake konflikter med andre sikkerhetsapps.
Endelig dom
Ransomware Interceptor er enkel, ultra lett og blokkerer ekte ransomware uten vanskeligheter. Det er ikke så effektivt med simulerte trusler som de beste antivirusmotorene, men kan fortsatt være verdt å installere som et andre lag av sikkerhet.
- Dette er den beste antivirusprogramvaren i 2018
