Revisión de McAfee Ransomware Interceptor

Silencioso, mortal y en constante evolución, ransomware nunca está lejos de los titulares. Es probable que McAfee quiera presumir de su Interceptor McAfee Ransomware gratuito, pero está enterrado en el sitio web de la empresa de seguridad.

Una razón podría ser que el Interceptor todavía aparece como un ‘piloto’, más una herramienta experimental anti-ransomware que un producto completo. No parece haber mucha experimentación, ya que la última actualización al momento de escribir fue el 18 de mayo de 2017.

  • Puede suscribirse para McAfee Ransomware Interceptor aquí

La página oficial de preguntas frecuentes de Interceptor señala otro problema: Interceptor no está cubierto por el soporte técnico de McAfee. Si tiene algún problema, puede estar solo.

Esto no necesariamente significa que Interceptor no tiene valor. El sitio web explica que «aprovecha la heurística y el aprendizaje automático» para identificar las amenazas, en lugar de utilizar firmas simples, lo que podría permitir que el programa bloquee incluso las amenazas nuevas y las desconocidas.

Una segunda ventaja es que este tipo de enfoque de monitoreo de comportamiento normalmente no entra en conflicto con otras herramientas antivirus, lo que le permite ejecutar Interceptor junto con casi cualquier cosa para agregar una capa adicional de protección de ransomware. Quizás esté un poco desactualizado, y tal vez Interceptor solo detecte algunas amenazas adicionales, pero es improbable que el programa cause ningún problema y podría hacerlo un poco más seguro en general.

Ese es el mejor escenario, de todos modos, pero, ¿tiene realmente Interceptor lo que se necesita para identificar el ransomware solo por su comportamiento? Tendríamos que descargar e instalar el programa para obtener más información.

  • Estas son las mejores herramientas gratuitas anti-ransomware

Preparar

McAfee Ransomware Interceptor es gratuito para que cualquiera lo use, sin necesidad de registrarse u otras molestias. Visite el sitio web, elija la versión de 32 o 64 bits, lea la licencia y puede descargar el programa con un clic.

El instalador es un 3.3MB muy compacto, que es probablemente la razón por la que el proceso de configuración parece muy simple, sin ninguna configuración u opción a considerar. Estuvimos brevemente preocupados cuando apareció una ventana de comando y la instalación pareció detenerse, sin que ocurriera nada durante más de un minuto. Pero luego la ventana desapareció, el instalador nos aconsejó reiniciar nuestro sistema de prueba y cerró normalmente.

A pesar del pequeño programa de configuración, el Interceptor Ransomware había ocupado bastante espacio en el disco. Sin embargo, la mayor parte de esto fueron los 310MB ocupados por el marco de gestión central de McAfee; los archivos principales del programa tomaron apenas 17MB.

El paquete fue mucho más ligero en términos de uso de la memoria RAM, con sus tres procesos de fondo que apenas toman 11 MB entre ellos en circunstancias normales, y sin un tiempo de CPU significativo. Esto probablemente no sea un producto que te ralentiza.

A veces, el malware intenta detectar y deshabilitar las herramientas de seguridad al cerrar procesos, eliminar archivos o claves del Registro. Esto puede ser sorprendentemente fácil: hemos visto algunos paquetes de antivirus que pueden eliminarse de un archivo por lotes, por lo que siempre comprobamos qué tan bien el software de seguridad puede proteger su propio código.

Los resultados no impresionaron, al menos inicialmente, cuando descubrimos que un atacante con privilegios de administrador podría eliminar la mayor parte del marco de administración de McAfee.

Por supuesto, para ser justos, si el código malicioso se está ejecutando en su sistema con derechos de administrador, entonces ya está en un gran problema. Y aunque logramos causar algún daño, los archivos de soporte SystemCore de McAfee permanecieron disponibles, y Interceptor continuó funcionando normalmente.

Hay pocas señales de las actividades de Interceptor, ya que el programa no tiene una interfaz real más allá de un solo icono de la bandeja del sistema, que contiene solo tres herramientas de administración. Podríamos activar y desactivar la protección, incluir en la lista blanca un programa confiable para evitar que se bloquee en el futuro, o ver un registro de detección para ver qué había hecho Interceptor.

No obtiene ningún control significativo de cómo funciona el paquete, entonces, como es el caso con algunos de los competidores. Los programas de lista blanca o desactivar Interceptor son sus únicas opciones.

A pesar de su interfaz extremadamente básica, también notamos una deficiencia menor. En este momento, Interceptor muestra el mismo icono de la bandeja del sistema, ya sea que esté activo o no, y la única forma en que puede ver su estado es haciendo clic con el botón derecho en el icono y verificando su menú. Preferiríamos ver el cambio del ícono: quizás verde para activo, rojo para inactivo, lo que le permite ver el estado del Interceptor de un vistazo.

Actuación

Probar el software anti-ransomware basado en el comportamiento siempre es difícil. Su valor está en la afirmación de que pueden detectar malware que aún no existe, pero es difícil de evaluar a menos que tenga un amplio acceso a las últimas amenazas.

Empezamos con un enfoque más simple, probando Interceptor contra Cerber, una conocida variedad de ransomware. Los resultados fueron excelentes, con Interceptor bloqueando el proceso Cerber antes de que pudiera encriptar un solo archivo y mostrar una alerta. Eso no es sorprendente, esperamos que McAfee haya diseñado Interceptor para buscar amenazas como Cerber, pero sí muestra que el programa ofrece alguna protección útil.

Luego, recurrimos a RanSim, el simulador gratuito de ransomware de KnowBe4. Esto ejecuta varias pruebas usando diferentes tipos de comportamiento parecido al ransomware, y le dice que ha sido bloqueado.

La última vez que miramos a Interceptor, no pudo detectar ninguno de los 14 escenarios de ataque de RanSim. Esta prueba mostró una mejora, con dos ataques bloqueados, pero aún estábamos vulnerables a los otros 12 escenarios. Esto no es tan alarmante como suena: todos los escenarios no son iguales, y es muy posible que las dos detecciones de Interceptor sean suficientes para bloquear la mayoría del ransomware del mundo real, pero hemos visto que otras herramientas de seguridad obtienen una puntuación más alta.

Finalmente, recurrimos a un simulador de ransomware muy simple. Es mucho más básico que RanSim, con solo un único modo de ataque, rastreando un conjunto de pruebas de carpetas, detectando y encriptando muchos tipos de documentos comunes. Pero como nunca se ha lanzado, sabemos que es algo que los desarrolladores de McAfee Ransomware Interceptor no habrán visto antes, lo que lo convierte en una prueba interesante de la monitorización del comportamiento y la heurística de Interceptor.

Lamentablemente, fue una prueba que Interceptor fracasó de manera exhaustiva. Nuestro simulador pudo ejecutarse hasta su finalización y cifró con éxito cada documento y archivo de usuario en nuestro árbol de prueba.

Necesitamos interpretar estos resultados con cuidado. RanSim puede usar acciones tipo ransomware, pero solo funcionó en sus propios archivos de muestra, dejando el nuestro intacto. Interceptor posiblemente tomó la decisión correcta al permitir que se ejecute.

Creemos que RanTest es probablemente la falla más importante, ya que fue capaz de encriptar miles de archivos reales en nuestro sistema de prueba. No es un ransomware real y solo se propaga a través de un solo árbol de prueba, por lo que es posible que el programa no cumpla con el umbral del interceptor para la detección.

Pero otras herramientas antivirus y anti-ransomware generalmente bloquean nuestro simulador de inmediato, con Kaspersky Antivirus 2019, por ejemplo, no solo detectando la amenaza y matando el proceso, sino también recuperando los pocos archivos que había logrado encriptar antes de detenerse.

Interceptor aún merece un gran crédito por bloquear el ransomware del mundo real, y esa es la prueba que más importa. El programa falló en gran medida con nuestras amenazas simuladas, pero aún puede mejorar su seguridad y hacerlo sin causar conflictos con otras aplicaciones de seguridad.

Veredicto final

Ransomware Interceptor es simple, ultraligero y bloquea el ransomware del mundo real sin dificultad. No es tan eficaz con amenazas simuladas como los principales motores antivirus, pero aún podría valer la pena instalarlo como una segunda capa de seguridad.

  • Este es el mejor software antivirus de 2018
Artículo anterior
Artículo siguiente