차례:
비디오: CryptoPrevent version 8 Overview (십월 2024)
랜섬웨어가 큰 문제라는 것은 비밀이 아니며 랜섬웨어로부터 보호하려는 제품이 점점 더 대중화되고 있습니다. 이러한 도구는 대부분 위협에 대한 새로운 대응 방법이지만 Foolish IT의 CryptoPrevent Premium 8은 2013 년부터 CryptoLocker에 주목하면서 랜섬웨어와 싸우고 있습니다. 그러나 테스트에서 경쟁 랜섬웨어 관련 제품보다 훨씬 더 복잡하고 덜 효과적이라는 것이 입증되었습니다.
RansomFree 및 Malwarebytes Anti-Ransomware와 마찬가지로 CryptoPrevent는 진공 상태에서 사용하도록 설계되지 않았습니다. 오히려 기존의 보호 기능과 함께 사용하여 일반 바이러스 백신을 통과하는 모든 랜섬웨어를 제거해야합니다. 완벽하게 이해됩니다. 모든 종류의 맬웨어가 바이러스 백신 보호를 일시적으로 피할 수는 있지만 항상 바이러스 백신 업데이트로 인해 바이러스가 제거 될 수 있습니다. 그러나 안티 바이러스가 사후에 랜섬웨어를 제거하더라도 파일을 해독 할 수는 없습니다.
2013 년 CryptoLocker는 최초의 빅 뉴스 랜섬웨어 위협으로 부상했습니다. Foolish IT의 개발자는 원래 특정 사이버 위협에 맞서기 위해 CryptoPrevent를 고안했습니다. 그러나 랜섬웨어는 계속 발전하고 있으며 CryptoLocker 자체도 문제가되었습니다. 설명 하겠지만 테스트 결과 CryptoPrevent가 그 진화를 따라 가지 못했다고합니다.
CryptoPrevent 구성
제품의 무료 버전을 설치하여 시작했습니다. 이 유틸리티와 다른 랜섬웨어 관련 도구의 차이점은 즉시 분명해졌습니다. Cybereason RansomFree 및 Malwarebytes가 백그라운드에서 작동하고 최소한의 사용자 상호 작용만으로 CryptoPrevent의 기본 창에는 7 개의 탭이 있으며 각 탭에는 설정이 있습니다. 이들 중 가장 중요한 것은 보호 계획을 선택할 수있는 보호 적용이라고 표시된 기본 탭입니다.
처음 시작할 때 보호 계획이 없음으로 설정되어 프로그램이 비활성 상태임을 의미합니다. 최소 수준에서는 CryptoLocker 및 기타 맬웨어를 차단하지만 새로운 위협은 차단하지 않을 것입니다. 기본으로 설정하면 다양한 멀웨어 위협으로부터 보호되지만 최신 랜섬웨어 일 필요는 없습니다. 무료 버전에서 제공되는 최고 수준 인 최대 수준에서는 소프트웨어를 설치하거나 제거 할 때 보호 기능을 해제해야한다는 경고가 표시됩니다. 랜섬웨어에 대해서는 구체적으로 약속하지 않습니다.
보호 설정 탭을 클릭하면 5 개의 하위 탭이있는 창이 나타나고 일부는 자체 하위 탭이 있습니다. 예, 경쟁과는 다릅니다. 소프트웨어 제한 정책 탭은 일반적으로 임시 폴더와 같은 실행 파일이 포함되지 않은 특정 시스템 영역에서 프로그램이 실행되지 않도록합니다. 소프트웨어 제한 정책은 CryptoPrevent에 의해 관리되는 Windows 기능입니다.
FolderWatch 탭을 보았을 때, CryptoPrevent는 권한이없는 프로그램이 보호 된 폴더의 파일 (데스크톱 및 문서 폴더 포함)을 변경하지 못하도록 먼저 가정했습니다. Panda Internet Security 및 IObit는 보호 된 폴더의 모든 액세스 (읽기 전용 액세스)를 방지합니다. 회사의 담당자가 설명했듯이 CryptoPrevent가 작동하는 방식은 아닙니다. 대신이 영역에 드롭 된 파일을 검사하여 맬웨어로 인식 된 파일을 검역소에 보관합니다.
보호 계획을 선택하고 적용하면 CryptoPrevent는 보호 영역의 기존 프로그램을 허용 목록에 제공합니다. 말이 되네요. 그렇지 않으면 합법적 인 프로그램을 차단하는 것을 알 수 있습니다.
15 달러를 지불하면 Extreme이라는 보호 계획을 하나 더 사용할 수 있습니다. 최대 수준과 마찬가지로 프로그램은 프로그램을 설치 또는 제거 할 때 보호 기능을 해제하고 합법적 인 소프트웨어를 방해 할 수 있다는 추가 정보를 권장합니다. Extreme 레벨에서는 대규모 메뉴가있는 Quick Launch 알림 아이콘을 사용할 수 있습니다. 무료 버전에서는 동일한 알림을받지 않습니다.
Extreme 수준에서는 FolderWatch HoneyPot 기능도 사용할 수 있습니다. 이 베타 기능은 일반적인 랜섬웨어 공격 위치를 미끼 파일로 채 웁니다. 나중에 허니팟에 대해 자세히 알아보십시오.
암호화 테스트
언급했듯이 무료 버전을 설치하기 시작했습니다. FolderWatch가 승인되지 않은 프로그램의 파일 액세스를 막지 않는다는 것을 깨닫기 전에 작은 텍스트 편집기와 간단한 파일 암호화기로 테스트했습니다. 나는 이것을 직접 썼으므로 승인 된 프로그램 목록에 분명히 없습니다. 당연히 CryptoPrevent는 반응하지 않았습니다. 그것이 의도 된 것이 아닙니다.
다음으로 가상 머신을 네트워크에서 신중하게 격리하고 한 번에 하나씩 실제 랜섬웨어 샘플 수십 개를 공개했습니다. 한 샘플의 경우 "시스템 관리자가이 프로그램을 차단했습니다."라는 Windows 오류 메시지가 표시되었습니다. 그러나 메시지를 닫았을 때 랜섬웨어가 다시 시작되고 가상 머신 세션을 종료하고 다시 깨끗한 상태로 돌아올 때까지 메시지가 계속해서 다시 나타납니다.
다른 샘플은 메시지 나 알림없이 작동하지 못했습니다. 그러나 나머지 샘플은 테스트 시스템을 완전히 소유하고 파일을 암호화하고 파일을 다시 가져 오기 위해 몸값을 요구하는 위협 메시지를 표시합니다. 무료 버전은 많은 보호 기능을 제공하지 않습니다. 동일한 샘플에 직면하여 Malwarebytes는 모든 샘플을 중지했으며 Ransomfree는 하나를 제외한 모든 샘플을 중지했습니다. Acronis True Image 2017 New Generation의 랜섬웨어 관련 보호 기능도 하나만 제외했습니다.
프리미엄 에디션으로 업그레이드하고 익스트림 보호를 선택한 다음이 테스트를 다시 실행했습니다. 결과는 동일하지만 약간의 차이가 있습니다. 무료 버전의 보호 하에서 신비하게 실패한 랜섬웨어 샘플을 시험해 보았을 때 시스템 제한 정책이이를 차단한다는 팝업 알림을 받았습니다. 마찬가지로 CryptoPrevent로 루프에 들어간 샘플은 매번 팝업 알림을 생성했습니다.
테스트에도 KnowBe4의 RanSim 랜섬웨어 시뮬레이터를 사용하지만 그 결과를 소금으로 가져옵니다. 일부 회사는 시뮬레이션 된 랜섬웨어가 실제 랜섬웨어와 유사하지 않기 때문에 행동 기반 탐지 시스템이이를 무시합니다. 예를 들어 Ransomfree는 시뮬레이션을 감지하지 않습니다. 나는 그것을 부정적인 것으로 취급하지 않습니다. 그러나 Malwarebytes Anti-Ransomware Beta는 10 개 중 8 개를 감지했으며 Acronis는 10 개 시뮬레이션 중 9 개를 적극적으로 차단했습니다. CryptoPrevent는 시뮬레이션 된 랜섬웨어에 전혀 반응하지 않았습니다.
허니팟에 의한 보호
악성 코드 연구자들은 종종 보안 기능이없는 인터넷 연결 컴퓨터 인 허니팟을 사용하여 맬웨어 샘플을 포착합니다. CryptoPrevent의 허니팟 시스템은 데스크탑 및 문서 폴더와 같은 인기있는 위치에 수십 개의 "미끼"파일을 저장합니다. 이 기능을 활성화하면 빠른 액세스 알림 아이콘도 활성화해야한다는 강력한 경고 메시지가 표시되고, 그렇지 않은 경우 CryptoPrevent는 랜섬웨어 감지에 대한 경고없이 시스템을 종료합니다. 이미 해당 기능을 사용하도록 설정 했으므로 걱정할 필요가 없었습니다.
허니팟을 활성화 할 때 가장 먼저 눈에 띄는 것은 데스크탑이 아이콘으로 가득 차서 넘친다는 것입니다. CryptoPrevent는 데스크탑, 문서 폴더 및 기타 영역에 약 80 개의 파일을 추가했습니다. (예, 숨겨진 파일을 표시하도록 Windows를 설정했습니다. 그렇지 않습니까?) 데스크톱을 제거하는 프로그램에 전혀 만족하지 않았지만 테스트를 계속했습니다.
결과는 고무적이지 않았다. 한 샘플은 간섭없이 진행되어 모든 미끼 파일과 다른 파일을 암호화하고 몸값을 확실하게 표시했습니다. 두 가지 경우에 CryptoPrevent는 랜섬웨어 활동을 탐지했습니다. 즉시 시스템을 종료하고 침입에 대처하기위한 전문가의 도움을 구하는 것이 좋습니다. 그러나이 두 경우 중 하나에서 랜섬웨어가 탐지하기 전에 모든 (또는 거의 모든) 취약한 파일을 암호화 한 것으로 나타났습니다. 반대로 Ransomfree, Malwarebytes 및 Acronis는 모두 큰 피해를 입기 전에 랜섬웨어 활동을 종료했습니다. 경우에 따라 일부 파일이 암호화되어 있지만 일부 파일 만 암호화되어 있습니다.
관입적이고 비효율적
안티 바이러스가 놓칠 수있는 랜섬웨어 탐지를 목적으로하는 유틸리티를 사용하여 일반 안티 바이러스를 보완하는 것이 좋습니다. 그러나 그런 목적으로 CryptoPrevent Premium 8을 권장하지 않습니다. 자체 지침에 따라 정상적인 프로그램 작동을 방해 할 수 있으며 프로그램을 설치하거나 제거하려면 더 높은 보호 수준을 해제해야합니다. 테스트에서 허니팟 기능은 데스크탑을 더 많은 아이콘으로 가득 채웠습니다. 심지어 최고 수준의 보호에서도 실제 랜섬웨어 샘플에 의한 암호화를 막지는 못했습니다.
Foolish IT에 연락하면이 제품이 기존 바이러스 백신과 함께 작동하는 것이 아니라고 지적합니다. 또한 최신 백업을 최상의 보호로 유지하는 것이 좋습니다. 그럼에도 불구하고 경쟁 제품은 CryptoPrevent가하지 않는 일을 보여줍니다.
랜섬웨어 보호 기능으로 안티 바이러스를 보완하려면 가능한 한 눈에 거슬리지 않고 의도 한 작업을 수행하는 것이 필요합니다. Cybereason RansomFree 및 Malwarebytes Anti-Ransomware Beta는 모두 프로필에 적합하며 무료입니다. 사실, 나는 기본 바이러스 백신 보호 기능을 보완하여 주 컴퓨터에서 모두 실행하고 있습니다.