Tyst, dödlig och ständigt utvecklas, ransomware är aldrig långt från rubrikerna. Du kan förvänta dig att McAfee vill skryta om sin gratis McAfee Ransomware Interceptor, men istället är den begravd djupt på säkerhetsföretagets hemsida.
En orsak kan vara att Interceptor fortfarande är listad som en ”pilot”, mer av ett experimentellt anti-ransomware-verktyg än en fullstyrd produkt. Det verkar inte vara mycket experimentering pågår, heller, eftersom den senaste uppdateringen vid skrivetiden var 18 maj 2017.
- Du kan anmäla dig till McAfee Ransomware Interceptor här
Den officiella Interceptor FAQ-sidan pekar på ett annat problem: Interceptor omfattas inte av McAfees tekniska support. Om du har några problem kan du vara ensam.
Detta betyder inte nödvändigtvis Interceptor har inget värde. Webbplatsen förklarar att det ”utnyttjar heuristik och maskininlärning” för att identifiera hot, snarare än att använda enkla signaturer, vilket skulle kunna låta programmet blockera även helt nya och oupptäckta hot.
En andra fördel är att den här typen av beteendeövervakning inte normalt strider mot andra antivirusverktyg, så att du kan köra Interceptor tillsammans med nästan vad som helst för att lägga till ett extra lager av ransomware-skydd. Kanske är det lite utdaterat, och kanske upptäcker Interceptor bara några extra hot, men det är osannolikt att programmet kommer att orsaka problem och kan göra dig lite säkrare totalt.
Det är dock bästa fallet, men har Interceptor verkligen vad som krävs för att identifiera ransomware från sitt beteende ensam? Vi skulle behöva ladda ner och installera programmet för att få veta mer.
- Dessa är de bästa gratis anti-ransomware-verktygen
Inrätta
McAfee Ransomware Interceptor är gratis för alla att använda, utan registrering eller andra krångel som krävs. Besök webbplatsen, välj 32 eller 64-bitarsversionen, läs licens och ladda ner programmet med ett klick.
Installatören är en mycket kompakt 3,3 MB, vilket är förmodligen varför installationsprocessen visade sig mycket enkel, med absolut inga inställningar eller alternativ att överväga. Vi var korta bekymrade när ett kommandofönster dök upp och installationen tycktes pausa, med ingenting alls som händer i mer än en minut. Men då fönstret försvann, rekommenderade installatören oss att starta om vårt testsystem och stängde normalt.
Trots det lilla installationsprogrammet hade Ransomware Interceptor tagit upp en rättvis bit av diskutrymme. Huvuddelen av detta var 310MB som upptagits av McAfees kärnhanteringsram. De viktigaste programfilerna tog knappt 17 MB.
Paketet var mycket lättare när det gäller RAM-användning, med tre bakgrundsprocesser som knappt 11 MB mellan dem under normala omständigheter och ingen signifikant CPU-tid. Detta kommer förmodligen inte att vara en produkt som saktar ner dig.
Malware försöker ibland att upptäcka och inaktivera säkerhetsverktyg genom att stänga processer, ta bort filer eller registernycklar. Det kan vara förvånansvärt enkelt – vi har sett några antiviruspaket som kan dödas från en batchfil – och så kontrollerar vi alltid hur bra säkerhetsprogram kan skydda sin egen kod.
Resultaten imponerade inte, åtminstone initialt, när vi upptäckte att en angripare med administratörsbehörighet kunde ta bort det mesta av McAfees ledningsram.
Naturligtvis, för att vara rättvis, om skadlig kod körs på ditt system med administratörsrättigheter, så är du redan i stora problem. Och även om vi lyckats orsaka skada, fortsatte McAfees SystemCore-supportfiler, och Interceptor fortsatte att springa som vanligt.
Det finns lite tecken på Interceptors aktiviteter, eftersom programmet inte har något riktigt gränssnitt utöver en enda systemfältikon, som bara innehåller tre hanteringsverktyg. Vi skulle kunna skifta skydd på och av, vitlista ett pålitligt program för att förhindra att det blockeras i framtiden, eller se en upptäcktslogga för att se vad Interceptor hade gjort.
Du får inte någon betydande kontroll över hur paketet fungerar, vilket är fallet med någon av tävlingarna. Whitelisting-program eller avstängning av Interceptor är dina enda alternativ.
Trots det extremt grundläggande gränssnittet märkte vi också en mindre brist. Just nu visar Interceptor samma systemfältikon om det är aktivt eller inte, och det enda sättet du kan se status är att högerklicka på ikonen och kontrollera dess meny. Vi föredrar att se ikonändringen – kanske grön för aktiv, röd för inaktiv – så att du kan se Interceptors status vid en blick.
Prestanda
Att testa beteendebaserad anti-ransomware-programvara är alltid svår. Deras värde är i påståendet att de kan upptäcka skadlig kod som inte existerar än, men det är svårt att bedöma om du inte har bred tillgång till de allra senaste hoten.
Vi började med ett enklare tillvägagångssätt, testa Interceptor mot Cerber, en känd ransomware-stam. Resultatet var utmärkt, med Interceptor blockera Cerber processen innan den kunde kryptera en enda fil och visa en varning. Det är ingen överraskning – vi förväntar oss att McAfee skulle ha utformat Interceptor för att leta efter hot som Cerber – men det visar att programmet erbjuder ett bra skydd.
Därefter vände vi oss till RanSim, KnowBe4s gratis ransomware-simulator. Detta kör olika test med olika typer av ransomware-liknande beteende, och berättar vilka som har blockerats.
Förra gången vi tittade på Interceptor kunde det inte upptäcka någon av RanSims 14 angreppsscenarier. Detta test visade viss förbättring, med två attacker blockerade, men vi var fortfarande sårbara för de övriga 12 scenarierna. Det här är inte lika oroväckande som det låter – alla scenarier är inte lika, och det är helt möjligt att Interceptors två detekteringar skulle räcka för att blockera mest verkliga ransomware – men vi har sett andra säkerhetsverktyg högre.
Slutligen vände vi oss till en mycket enkel ransomware-simulator av oss själva. Det är långt mer grundläggande än RanSim, med bara ett enda sätt att attackera, spider genom en testuppsättning av mappar, detekterar och krypterar många vanliga dokumenttyper. Men som det aldrig har släppts vet vi att det är något som McAfee Ransomware Interceptor-utvecklarna inte har sett tidigare, vilket gör det till ett intressant test av Interceptors beteendeövervakning och heuristik.
Tyvärr var det ett test som Interceptor helt och hållet misslyckades. Vår simulator fick springa till färdigställande och krypterade varje användardokument och fil i testtestet.
Vi måste tolka dessa resultat med omsorg. RanSim kan använda ransomware-liknande handlingar, men det fungerade bara på egna provfiler och lämnade oss orörda. Interceptor gjorde säkert det rätta beslutet genom att låta det springa.
Vi tror att RanTest är förmodligen det större felet, eftersom det kunde kryptera tusentals riktiga filer på vårt testsystem. Det är inte riktigt ransomware och bara spidered genom ett enda testträd, så det är möjligt att programmet inte uppfyllde Interceptors tröskel för detektering.
Men andra antivirus- och anti-ransomware-verktyg blockerar i allmänhet vår simulator genast, med till exempel Kaspersky Antivirus 2019 spottar inte bara hotet och dödar processen utan återhämtar också den handfulla filer som den lyckades kryptera innan den stoppades.
Interceptor förtjänar fortfarande stor kredit för att blockera verkliga ransomware, och det är testet som är mest viktigt. Programmet misslyckades i stor utsträckning med våra simulerade hot, men det kan fortfarande förbättra din säkerhet och göra det utan att orsaka konflikter med andra säkerhetsapps.
Slutlig dom
Ransomware Interceptor är enkel, ultralätt och blockerar verklig ransomware utan svårighet. Det är inte lika effektivt med simulerade hot som de främsta antivirusmotorerna, men det kan fortfarande vara värt att installera som ett andra säkerhetslager.
- Detta är det bästa antivirusprogrammet från 2018
