Stil, dodelijk en voortdurend evoluerend, ransomware is nooit ver van de krantenkoppen. Je zou kunnen verwachten dat McAfee wil opscheppen over zijn gratis McAfee Ransomware Interceptor, maar in plaats daarvan wordt het diep in de website van het beveiligingsbedrijf begraven.
Een reden kan zijn dat de interceptor nog steeds wordt vermeld als een ‘pilot’, meer een experimentele anti-ransomware-tool dan een product met volledige sterkte. Er lijkt ook niet veel te worden geëxperimenteerd, aangezien de laatste update op het moment van schrijven 18 mei 2017 was.
- U kunt zich hier aanmelden voor McAfee Ransomware Interceptor
De officiële Interceptor-pagina met veelgestelde vragen wijst op nog een ander probleem: Interceptor valt niet onder de technische ondersteuning van McAfee. Als u problemen ondervindt, kunt u alleen zijn.
Dit betekent niet noodzakelijk dat Interceptor geen waarde heeft. De website legt uit dat het ‘gebruikmaakt van heuristiek en machine learning’ om bedreigingen te identificeren, in plaats van eenvoudige handtekeningen te gebruiken, waardoor het programma zelfs gloednieuwe en nog niet ontdekte bedreigingen kan blokkeren.
Een tweede voordeel is dat dit soort gedragsbewakingsaanpak normaal gesproken niet in strijd is met andere antivirusprogramma’s, waardoor je naast bijna alles Interceptor kunt gebruiken om een ​​extra laag bescherming tegen ransomware toe te voegen. Misschien is het een beetje verouderd, en misschien detecteert Interceptor alleen een paar extra bedreigingen, maar het programma zal waarschijnlijk geen problemen veroorzaken en kan u in het algemeen een beetje veiliger maken.
Dat is in elk geval het beste scenario, maar heeft Interceptor echt wat nodig is om ransomware te identificeren van zijn gedrag alleen? We zouden het programma moeten downloaden en installeren om meer te weten te komen.
- Dit zijn de beste gratis anti-ransomware tools
Opstelling
McAfee Ransomware Interceptor is gratis voor iedereen om te gebruiken, zonder registratie of ander gedoe. Bezoek de website, kies de 32- of 64-bit-versie, lees de licentie en u kunt het programma downloaden met een klik.
Het installatieprogramma is een zeer compacte 3,3 MB, wat waarschijnlijk de reden is waarom het installatieproces erg eenvoudig leek, met absoluut geen instellingen of opties om te overwegen. We maakten ons kort zorgen over het verschijnen van een opdrachtvenster en de installatie leek te pauzeren, met helemaal niets meer dan een minuut. Maar toen het venster verdween, adviseerde het installatieprogramma ons om ons testsysteem opnieuw te starten en normaal te sluiten.
Ondanks het kleine installatieprogramma had Ransomware Interceptor een behoorlijk stuk schijfruimte in beslag genomen. Het grootste deel hiervan was de 310MB bezet door McAfee’s kernmanagement-framework, hoewel; de belangrijkste programmabestanden hadden amper 17MB nodig.
Het pakket was veel lichter in termen van RAM-gebruik, met zijn drie achtergrondprocessen die nauwelijks 11MB in beslag namen onder normale omstandigheden, en geen significante CPU-tijd. Dit zal waarschijnlijk geen product zijn dat je vertraagt.
Malware probeert soms beveiligingsprogramma’s te detecteren en uit te schakelen door processen te sluiten, bestanden of registersleutels te verwijderen. Dit kan verrassend eenvoudig zijn – we hebben enkele antiviruspakketten gezien die kunnen worden gedood uit een batchbestand – en daarom controleren we altijd hoe goed beveiligingssoftware zijn eigen code kan beschermen.
De resultaten maakten geen indruk, althans aanvankelijk, toen we een aanvaller ontdekten met beheerdersbevoegdheden die het meeste van het beheerraamwerk van McAfee konden verwijderen.
Natuurlijk, om eerlijk te zijn, als schadelijke code op je systeem draait met admin rechten, dan ben je al in grote problemen. En hoewel we erin slaagden enige schade aan te richten, bleven de SystemCore-ondersteuningsbestanden van McAfee beschikbaar en bleef Interceptor gewoon doorgaan.
Er is weinig teken van de activiteiten van Interceptor, omdat het programma geen echte interface heeft naast een enkel systeemvakpictogram, dat slechts drie beheerprogramma’s bevat. We kunnen de beveiliging in- en uitschakelen, een vertrouwd programma op de witte lijst zetten om te voorkomen dat het in de toekomst wordt geblokkeerd of een logbestand bekijken om te zien wat Interceptor heeft gedaan.
U krijgt geen significante controle over hoe het pakket werkt, en vervolgens, zoals het geval is met een deel van de concurrentie. Whitelisting-programma’s of het uitschakelen van Interceptor zijn uw enige opties.
Ondanks de uiterst eenvoudige interface, hebben we ook een klein tekort opgemerkt. Op dit moment geeft Interceptor hetzelfde pictogram in het systeemvak weer, ongeacht of het actief is of niet, en de enige manier waarop u de status ervan kunt zien, is door met de rechtermuisknop op het pictogram te klikken en het menu te controleren. We zien liever dat het pictogram verandert Рmisschien groen voor actief, rood voor inactief Рzodat u de status van Interceptor in ̩̩n oogopslag kunt zien.
Prestatie
Het testen van op gedrag gebaseerde anti-ransomware-software is altijd moeilijk. Hun waarde is in de claim dat ze malware kunnen detecteren die nog niet bestaat, maar dat is moeilijk te beoordelen, tenzij je een brede toegang hebt tot de nieuwste bedreigingen.
We zijn begonnen met een eenvoudigere aanpak, het testen van Interceptor tegen Cerber, een bekende ransomware-stam. De resultaten waren uitstekend, met Interceptor die het Cerber-proces blokkeerde voordat het een enkel bestand kon versleutelen en een waarschuwing kon weergeven. Dat is geen verrassing – we zouden verwachten dat McAfee Interceptor heeft ontworpen om te zoeken naar bedreigingen zoals Cerber – maar het laat wel zien dat het programma enige nuttige bescherming biedt.
Vervolgens wendden we ons tot RanSim, de gratis ransomware-simulator van KnowBe4. Dit voert verschillende tests uit met behulp van verschillende soorten ransomware-achtig gedrag en vertelt je welke zijn geblokkeerd.
De laatste keer dat we naar Interceptor keken, kon het geen van de 14 aanvalsscenario’s van RanSim detecteren. Deze test liet enige verbetering zien, waarbij twee aanvallen werden geblokkeerd, maar we waren nog steeds kwetsbaar voor de andere 12 scenario’s. Dit is niet zo alarmerend als het klinkt – alle scenario’s zijn niet gelijk, en het is heel goed mogelijk dat de twee detecties van Interceptor voldoende zijn om de meeste ransomware in de echte wereld te blokkeren – maar we hebben andere beveiligingshulpmiddelen hoger zien scoren.
Uiteindelijk hebben we ons tot een zeer eenvoudige ransomware-simulator van ons eigen gemaakt. Het is veel eenvoudiger dan RanSim, met slechts één enkele aanvalsmethode, door een testset van mappen te bladeren, en vele veelvoorkomende documenttypen te detecteren en te coderen. Maar omdat het nog nooit is vrijgegeven, weten we dat het iets is wat de McAfee Ransomware Interceptor-ontwikkelaars nog niet eerder hebben gezien, waardoor het een interessante test is van de gedragsbewaking en heuristiek van Interceptor.
Helaas was het een test waarmee Interceptor volledig faalde. Onze simulator kon tot voltooiing worden uitgevoerd en elk gebruikersdocument en bestand in onze testboom met succes versleuteld.
We moeten deze resultaten met zorg interpreteren. RanSim kan ransomware-achtige acties gebruiken, maar het werkte alleen op zijn eigen voorbeeldbestanden, waardoor de onze onaangetast bleef. Interceptor maakte de juiste beslissing door het te laten lopen.
We denken dat RanTest waarschijnlijk de belangrijkste fout is, omdat het duizenden echte bestanden op ons testsysteem kon coderen. Het is geen echte ransomware en wordt alleen door een enkele testboom heen gespeld, dus het is mogelijk dat het programma niet voldoet aan de drempel van Interceptor voor detectie.
Maar andere antivirus- en anti-ransomware-tools blokkeren in het algemeen onze simulator meteen, met bijvoorbeeld Kaspersky Antivirus 2019 niet alleen het opsporen van de bedreiging en het doden van het proces, maar ook het herstellen van de handvol bestanden die het had weten te coderen voordat het werd gestopt.
Interceptor verdient nog steeds grote eer voor het blokkeren van real-world ransomware, en dat is de test die het belangrijkst is. Het programma is grotendeels mislukt met onze gesimuleerde bedreigingen, maar het kan uw veiligheid nog steeds verbeteren, en dit doen zonder conflicten te veroorzaken met andere beveiligings-apps.
Eindoordeel
Ransomware Interceptor is eenvoudig, ultra-lichtgewicht en blokkeert real-world ransomware zonder problemen. Het is niet zo effectief met gesimuleerde bedreigingen als de beste antivirusengines, maar het kan de moeite waard zijn om te installeren als een tweede beveiligingslaag.
- Dit is de beste antivirussoftware van 2018
