Branża cyberbezpieczeństwa rządzi się swoimi prawami. Tutaj nie ma czasu na odpoczynek, a już na pewno nie mogą pozwolić sobie na ten przywilej producenci antywirusów.
Krajobraz zagrożeń potrafi zmienić się z tygodnia na tydzień. Cierpią na tym głownie użytkownicy końcowi, dlatego dostawcy oprogramowania antywirusowego muszą błyskawicznie reagować na wynikające z popularyzowania się usług „Crimeware as a service” zdarzenia, które implikują zwielokrotnienie ilości cyberataków. Pamiętacie pierwsze wirusy ransomware? Chociaż ta specyficzna rodzina szkodliwego oprogramowania mocno ewoluowała, to niektórzy dostawcy aplikacji bezpieczeństwa do dzisiaj nie potrafią poradzić sobie ze skutecznym blokowaniem i uniknięciem zaszyfrowania plików użytkownika.
Pod tym względem, behawioralna ochrona przed nieznanymi zagrożeniami i szkodliwym oprogramowaniem krypto-ransomware, która jest zaimplementowana w programach Emsisoft Anti-Malware 12 oraz Emsisoft Internet Security 12 radzi sobie bardzo dobrze. Więcej o teście możecie przeczytać w tym miejscu.
Emsisoft w Polsce
Aplikacje bezpieczeństwa firmy Emsisoft są bardzo popularne w Polsce — i to nie tylko z powodu dobrej ochrony w czasie rzeczywistym, ale także bezpłatnego skanera anty-malware Emsisoft Emergency Kit. Dla fanów tej marki antywirusów oraz potencjalnych nowych klientów, którzy jeszcze się nie zdecydowali lub ciągle wahają się w kwestii wyboru oprogramowania antywirusowego, przygotowaliśmy kilka ciekawostek:
— użytkownicy z Polski stanowią 6. najbardziej liczną grupę klientów programów Emsisoft z całego świata: jest „nas”, Polaków, ponad 100 000. Przed nami są użytkownicy z USA, Niemiec, Rosji i Francji. Do TOP 10 należą państwa (posortowane według najliczniejszej grupy użytkowników): USA, Niemcy, Rosja, Francja, Włochy, Polska, Wielka Brytania, Kanada, Ukraina i Holandia. Producent deklaruje AVLab, że posiada około 4 milionów aktywnych licencji, wliczając w to bezpłatny skaner Emsisoft Emergency Kit, wersje trial oraz wersje płatne programów Emsisoft.
— większość wykrywanych przez Emsisoft zagrożeń, które dotyczą naszego kraju, to przede wszystkim potencjalnie niechciane programy (ang. PUP – potential unwanted program). Nie jest to zaskoczeniem, biorąc pod uwagę fakt, że Emsisoft kładzie silny nacisk na wykrywanie „śmieciowych” aplikacji oraz czyszczenie irytujących elementów po zainstalowaniu oprogramowania freeware. A więc problem zostaje podwójnie rozwiązany — z powodu dobrego wykrywania PUP mniej techniczni użytkownicy nie są nękani reklamami, które pochodzą z oprogramowania freeware, a ich przeglądarki są wolne od zbędnych dodatków i toolbarów.
— jeśli chodzi o szkodliwe oprogramowanie, to zdecydowanie najwięcej detekcji przypada na ransomware i krypto-ransomware. Szczególnie w tym zakresie polecamy wypróbowanie opracowanych przez Fabiana Wosara (CTO Emsisoft) narzędzi — dekryptorów, które możecie pobrać za darmo i wykorzystać je do odszyfrowania plików. Lub przynajmniej możecie próbować: https://decrypter.emsisoft.com
— producent zdradził nam, że pracuje nad mechanizmem, który na podstawie funkcji rejestrujących zdarzenia w systemie pozwoli przeprowadzić po cyberataku analizę zdarzeń i zbadać, co stało się w przeszłości na komputerze. Funkcja ta może być szczególnie interesująca dla administratorów sieci, którzy muszą analizować działania związane z bezpieczeństwem swoich klientów. Na razie nie wiadomo, czy moduł ten pojawi się w oprogramowaniu dla użytkowników indywidualnych, czy tylko dla firm (chociaż to te same aplikacje).
Innowacje w wersji „12”. Nie, nie tym razem
Z informacji, jakie udało nam się pozyskać od producenta, wynika, że nowa seria produktów dla użytkowników indywidualnych oraz dla mikro firm, a więc: Emsisoft Internet Security 12 i Emsisoft Anti-Malware 12 nie zawiera żadnych nowych funkcjonalności. Ale…
Producent przyłożył się do poprawy już wcześniej opracowanych modułów ochronnych, które teraz zyskały jeszcze lepszą jakość zabezpieczenia:
W nowych wersjach programów ulepszono m.in. algorytm detekcji wirusów typu ransomware (co dało się zauważyć podczas naszych testów) oraz mechanizm do wykrywania potencjalnie niepożądanych aplikacji. Co więcej, deweloperzy dopracowali mechanizmy auto-ochrony antywirusa, które przed startem systemu operacyjnego oraz w trakcie pracy użytkownika, stale monitorują potencjalnie groźny w skutkach dostęp do plików antywirusa przez procesy, które w wyniku wstrzyknięcia przez malware złośliwego kodu do innego procesu, mogłyby ulec awarii i spowodować trwałe uszkodzenie integralności plików antywirusa. Taka sytuacja nie zdarza się często, ale mogłaby stanowić dla użytkownika nie lada problem — malware, które zdołałoby zatrzymać monitor antywirusowy lub dodać się do listy bezpiecznych plików, mogłoby wykonać nieautoryzowany niebezpieczny kod w kontekście uprawnień procesu, z jakiego zostało zainicjowane uruchomienie szkodliwego programu.
Ale to nie wszystko. Zespół Emsisoft postarał się o:
- zminimalizowanie problemu występowania fałszywych alarmów (chociaż naszym zdaniem problem ten już nie występuje od dawna),
- zmieniono funkcjonowanie białej listy, która teraz pozwala na tworzenie wykluczenia z ochrony dla programów, a nawet plików znajdujących się we wskazanych folderach na dysku,
- modernizacji uległa integracja z powiadomieniami systemowi — wersja „12” przynosi pod tym względem zwiększoną integrację z centrum akcji Windows 10,
- kosmetycznym zmianom uległ interfejs użytkownika.
Oprócz wyżej wypunktowanych zmian, wprowadzono także setki pomniejszych usprawnień w oparciu o współpracę ze społecznością oraz niezależnymi testerami.
Co z ochroną?
Skuteczność ochrony behawioralnej potwierdziliśmy w naszym najnowszym teście, który wśród producentów oprogramowania antywirusowego cieszy się bardzo dużą popularnością — chociaż musimy przyznać szczerze, że nie wszyscy są zadowoleni z takiego obrotu sprawy. Mamy oczywiście na myśli marne wyniki uzyskane przez niektóre programy. Jedno jest pewne — rynek antywirusowy zmienia się dynamicznie, więc programy, które kiedyś brylowały we wszystkich testach, niekoniecznie muszą utrzymywać taki sam stan rzeczy już do końca świata i jeszcze o jeden dzień dłużej.
Wracając do naszej ochrony, w ustawieniach recenzowanego Emsisoft Internet Security 12 da się odszukać kilka ciekawych funkcji, a mianowicie: Kontrolę Zachowań (Behaviour Blocker), która stanowi niebywałą siłę tego produktu.
Chodzi o to, że użytkownik jest chroniony przed nieznanym zagrożeniem (czyli wtedy, kiedy producent nie opracował jeszcze żadnej sygnatury) — może blokować zachowanie podobne do backdoorów, spyware, programów typu hijack, oraz bronić wskazane aplikacje przed próbą wstrzykiwania kodu przez inne procesy (jeżeli kontrola zachowania takiego szkodliwego pliku lub procesu wykryje potencjalnie groźne w skutkach zachowanie, które odbiega od tradycyjnych modyfikacji systemu podczas uruchamiania lub instalowania bezpiecznych aplikacji).
Dodatkowo, użytkownik ma możliwość tworzenia reguł sieciowych dla aplikacji (firewall), podejrzanych aplikacji typu crack, blokowania systemowych aplikacji, np. Cortana, blokowania listy hostów (Emsisoft potrafi rozpoznać z pliku TXT adresy IP oraz je zablokować), i co ciekawe — blokowania hostów reklam (domyślnie jest ta funkcja wyłączona), a więc wszystkich tych plików i skryptów, które są pobierane w momencie wczytywania zasobów strony z „obcych” serwerów, a których adresy IP nie należą do rekordu A zdefiniowanego w konfiguracji DNS domeny TLD.
Testy Emsisoft Internet Security 12
Z tradycyjnych testów antywirusowych potwierdzających skuteczność ochrony w czasie rzeczywistym zrezygnowaliśmy w tej recenzji, ponieważ dobrą jakość ochrony udowodnił nasz test na ochronę przeciwko nieznanym zagrożeniom krypto-ransomware. Natomiast nie mogliśmy pominąć testu wydajności:
Na stacji roboczej wyposażonej w nowoczesny 6-rdzeniowy procesor oraz przydzieloną 2 GB-bajtową kością pamięci RAM sprawdziliśmy wydajność Emsisoft Internet Security 12 dla procesów wykreowanych wyłącznie przez aplikację antywirusową. Metoda ta pozwala odseparować zużycie procesora oraz wykorzystania pamięci RAM przez zainstalowane aplikacje od programu antywirusowego.
W trybie jałowym, podczas 10 minutowego testu zbieraliśmy wyniki wykorzystania czasu procesora przez wszystkie procesy antywirusa oraz pamięci RAM. Wyniki uśredniono.
Zielona linia na wykresie wskazuje na CPU. Pozostałe linie leżące bliżej „zera” trudno dostrzec, jednak ich wartość w punkcie, w którym przekroczono skalę „100” oznacza wykorzystanie jednego rdzenia CPU w 100%. W szczytowym obciążeniu CPU przez procesy antywirusa, wartość wskazywała na 156%, co oznacza, że jeden rdzeń w danej sekundzie rejestrowanego badania był obciążony w 100%, z kolei drugi rdzeń w 56%. Przez okres 10 minut skanowania, średnie wykorzystanie CPU tylko jednego rdzenia to 42,978%. Drugi rdzeń nie był obciążony.
Podsumowanie
Jeśli chodzi o antywirusy marki Emsisoft, jesteśmy po raz kolejny z rzędu pozytywnie zaskoczeni jakością behawioralnej ochrony oraz prostymi i zrozumiałymi komunikatami mechanizmu detekcji podejrzanych działań wirusów w systemie operacyjnym. Jesteśmy też zaintrygowani tym, jak taka mała firma jak Emsisoft dokłada wszelkich starań w przygotowanie aplikacji do ochrony przed całym spektrum złośliwego oraz potencjalnie niechcianego oprogramowania. I chociaż Emsisoft nie należy do tej grupy korporacji, które zrzeszają wielomilionową rzeszę użytkowników (programy tego producenta są skierowane zarówno dla wyspecjalizowanych użytkowników oraz tych mniej technicznych), to jedyną bolączką wydaje się nieproporcjonalna popularność w stosunku do innych producentów, takich jak: Kapsersky Lab, Avast, ESET, G Data, czy choćby F-Secure i Comodo. Dlatego tutaj nasza prośba — jeżeli znacie osoby, które szukają dobrego i „cichego” oprogramowania antywirusowego — bez żadnych przeciwskazań możecie polecać zainstalowanie lub chociażby wypróbowanie Emsisoft Anti-Malware 12 lub Emsisoft Internet Security 12.
