Обзор WinPatrol WinAntiRansom

2016-11-23 | Автор | комментарии
Обзор и тестирование WinPatrol WinAntiRansom. Решение предназначено для защиты от программ-вымогателей и других типов вредоносных программ и использует для этого поведенческие методы обнаружения

Скачать WinAntiRansom

Несмотря на свое название, WinPatrol WinAntiRansom направлен на ликвидацию различных типов вредоносных программ, а не только на защиту от шифровальщиков. Так как продукт не использует сигнатуры, а полагается на поведенческие способы обнаружения, теоретически данный инструмент защиты должен быть одинаково эффективен при противодействии всем видам угроз, включая новейшие атаки нулевого дня. На практике оказалось, что программа может пропустить некоторые опасные угрозы, при этом заблокировав безопасные приложения.

Годовая лицензия WinPatrol WinAntiRansom стоит 19,95 долларов в год, но за 24,95 долларов можно приобрести сразу три лицензии. Таким образом, продукт имеет более низкую цену, чем многие конкуренты. В США Bitdefender Antivirus Plus 2017, Kaspersky, Norton и Webroot стоят в два раза дороже, а лицензия McAfee продается в три раза дороже, но позволяет устанавливать защиту на неограниченное количество устройств. В любом случае, доплата связана с получением дополнительных возможностей.

WinAntiRansom - нестандартный продукт, он не имеет домашнего экрана или главного окна. При запуске он отображает страницу настроек с модульной лентой инструментов в верхней части окна, которая организует быстрый доступ к журналам, настройкам, помощи и другим компонентам. При выборе иконок в правой области панели инструментов открывается экран, который позволяет переключаться между 40 различными темами оформления. Некоторые темы связаны с различными праздниками и временами года. Не совсем понятно, зачет антивирусной программе такое разнообразие скинов.

Обзор WinPatrol WinAntiRansom: Список программ

Сразу после установки WinAntiRansom запускает сканирование, чтобы идентифицировать известные надежные программы и вывести их список. В списке программы с цифровой подписью и компоненты Windows помечены специальными иконками. После завершения проверки WinAntiRansom полностью готов к работе.

Блокировка вредоносных программ при запуске

К сожалению, ни одна из отслеживаемых PCMag независимых антивирусных лабораторий не проводила оценку эффективности WinAntiRansom. Это факт может вызывать некоторую степень настороженности.

Тем не менее, PCMag провела собственное тестирование продукта. В отличие от многих традиционных антивирусов, WinAntiRansom анализирует исключительно поведение программы и не имеет сканера при доступе. Таким образом, условия испытания были упрощены. Вредоносные образцы последовательно запускались, после чего проверялась реакция инструмента защиты.

WinAntiRansom обнаружил 97 процентов тестовых зловредов. Такой же результат продемонстрировали Norton, Trend Micro Antivirus+ Security и еще некоторые продукты. В каждом отдельном случае выводилось сообщение "PreEmptive Strike Block!" (дословно “Упреждающий удар”) со строкой "Performed a Ransomware/Malware like action" (“Обнаружено поведение вредоносной программы/шифровальщика”) и уникальным набором цифр в скобках. Всплывающее оповещение предлагало два варианта действия - разрешить в следующий раз или добавить в карантин. В большинстве случае WinAntiRansom обнаружил угрозы сразу после запуска, но в некоторых случаях фиксировалась небольшая задержка.

Обзор WinPatrol WinAntiRansom: Активнось

За все время тестирования в информационном сообщении выводилось около 15 различных чисел в диапазоне от 1 до 3001. Значения этих цифр заинтриговали эксперта PCMag, Н. Дж. Рубенкинга. Он связался с представителем компании-разработчика, который объяснил, эти цифры представляют окончательное решение, которое было принято на основании совокупного показателя поведенческой активности. Также специалист вендора заверил, что “Мы никогда не делаем эти данные достоянием общественности, потому что не желаем предоставлять злоумышленникам способы для обхода механизмов обнаружения”.

Карантин WinAntiRansom надежно предотвратил установку большинства вредоносных программ. Тем не менее, в нескольких случаях зловреды не только установились, но и смогли запуститься. Действительно, системы обнаружения на основе поведенческих признаков могут блокировать один процесс, но пропускать другой. В результате WinAntiRansom получил 9,2 балла из 10 возможных за блокировку.

Большое количество ложных срабатываний

Современные антивирусы должны преследовать две цели - блокировка всех вредоносных программ и игнорирование безопасных надежных приложений. Ложные срабатывания, т.е. ошибочные блокировки легитимных программ подрывают доверие пользователя в эффективности антивируса.

Обзор WinPatrol WinAntiRansom: Большое количество ложных срабатываний

Для проверки адекватности защиты WinAntiRansom использовалась коллекция надежных приложений, которые располагались в одной папке с угрозами. Таким образом, во время испытания все приложения запускались в алфавитном порядке, независимо от их природы.

Результаты оказались плачевными. Только 5 из 20 программ оказались без внимания WinAntiRansom. Конечно, пользователь может разрешить выполнение программы при следующем запуске, но он не всегда может принять правильное решение. Более того, всплывающие оповещения не показывают причины классификации программ в качестве вредоносного ПО, что затрудняет пользовательское решение.

Блокировка новейших угроз

Традиционный тест на блокировку вредоносных загрузок в случае с WinAntiRansom не подошел бы. Инструмент не пытается блокировать доступ к опасным ссылкам и не сканирует загруженные файлы до тех пор, пока они не будут запущены. Поэтому условия тест были немного изменены. В данном испытании принимают участие новейшие вредоносные образцы, собранные MRG-Effitas, возраст доменов обычно не превышает и дня.

Обычно в данном тесте используется 100 вредоносных ссылок, но из-за повышения трудоемкости в случае с WinAntiRansom было проверено 50 объектов. Все образцы были запущены, после чего ожидалась ответная реакция от инструмента защиты. Результаты разочаровали. WinAntiRansom предложил отправить в карантин только 78 процентов угроз. Для сравнения Norton корректно заблокировал 98 процентов вредоносных загрузок, большинство во время скачивания.

Для проверки отсутствия ошибок, хеши MD5 каждого образца прошли проверку в облачном сервисе VirusTotal, который проверяет каждый объект с помощью более 50 антивирусных двигателей. У файлов, которые были обнаружены WinAntiRansom, средний уровень обнаружения VirusTotal равнялся 59 процентам, а у пропущенных файлов - 53 процентам, что не такая уж и большая разница.

Вполне вероятно, что некоторые пропущенные файлы не смогли запустить вредоносную активность. В этом заключается опасность поведенческих методов обнаружения - они не могут идентифицировать вредоносную программу, которая работает в фоновом режиме и ожидает возможности для атаки.

Другие функции и странности

WinAntiRansom имеет большое количество дополнительных уровней защиты, которые предотвращают ущерб от действия вредоносных программ, которые могут обойти идентификацию по поведению. Функция Network Lockdown работает как программный контроль фаервола - блокирует подключения недоверенных программ. Защита реестра предотвращает выполнение изменений в критических зонах системного реестра со стороны неизвестных приложений.

Обзор WinPatrol WinAntiRansom: Другие функции

В качестве еще одной меры защиты от шифровальщиков используется функция SafeZone. Это защищенная подпапка в папке Документы. Поместить всю папку Документы под защиту SafeZone невозможно. На панели инструментов можно кликнуть на иконки, которые показывают все последние действия защиты реестра, Network Lockdown и SafeZone.

Протестировать Network Lockdown с помощью самописного браузера не удалось. Он был распознан WinAntiRansom как вредоносный. Чтобы можно было запустить браузер, его нужно добавить в список доверенных приложений, на которых защита Network Lockdown не распространяется. Аналогично, не удалось проверить SafeZone с помощью самописного текстового редактора, который был сразу добавлен в карантин.

Во время тестирования программа несколько раз зависала и появлялся запрос системы с 2 вариантами действия “Закрыть программу” и “Ожидание отклика ответа”. Кроме того, пару раз WinAntiRansom завершал работу сбоем и выдавал сообщение об ошибке.

Очень странно поведение продемонстрировала функция тем оформления. После выбора темы “День Святого Валентина” окно программы стало розовым с сердечками. Однако, при изменении размеров окна фоновое изображение стало циклически меняться. Кроме розового фона отображалось изображение с небольшими шестеренками и полностью черный фон. Данный глюк повторялся при изменении размеров окна. Тем не менее, данная странность наблюдалась при использовании лишь некоторых скинов.

Нуждается в улучшении

WinPatrol WinAntiRansom стремится защитить пользователей от известных и неизвестных видов вредоносных программ за счет использования поведенческих методов обнаружения без применения сигнатур. Это благородная цель, что на деле программа ее пока еще не достигла. Продукт пропустил несколько опасных вредоносных программ и заблокировал большое количество надежных приложений, при этом продемонстрировав ошибки интерфейса и проблемы стабильности.

PCMag предлагает рассмотреть для защиты пять антивирусов, которые носят звание “Выбор редакции”: Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Norton AntiVirus Basic и Webroot SecureAnywhere Antivirus. Они стоят дороже, но предлагают более высококачественную защиту.

Обзор WinPatrol WinAntiRansom:

Оценка PC Magazine

Достоинства

  • обнаружение вредоносных программ и новейших угроз по поведенческим признакам;
  • хороший результат в собственном тесте на блокировку вредоносного ПО;
  • инструмент SafeZone защищает документы от шифровальщиков.

Недостатки

  • большое количество ложных срабатываний;
  • слабое обнаружение новейших зловредов;
  • сбои и ошибки работы во время тестирования;
  • отсутствуют результаты лабораторных тестов.

Общая оценка

WinPatrol WinAntiRansom предназначен для защиты от программ-вымогателей и других типов вредоносных программ и использует для этого поведенческие методы обнаружения. Тем не менее, продукт проигнорировал несколько опасных угроз и ошибочно заблокировал слишком большое количество надежных программ.

Скачать WinAntiRansom

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?