Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 20 reacties
Bron: SurfRight

HitmanPro.Alert logo (75 pix) SurfRight heeft versie 3.1.9 van HitmanPro.Alert uitgebracht. Steeds vaker zien we berichten over beveiliging op internet en het falen daarvan. Hackers proberen met malware achter financiële gegevens te komen om zo rekeningen te plunderen. Een antivirusprogramma en firewall zijn vaak niet voldoende om een aanval tegen te houden. HitmanPro.Alert kan de integriteit van de webbrowser controleren. Het is geen browserplug-in, maar draait als een systeemservice en laat vanuit de rechterbovenhoek door middel van een zogeheten Flyout-window weten of de integriteit van de browser door malware is aangetast of niet. Ondersteuning is aanwezig voor Google Chrome, Internet Explorer, Firefox, Safari, Opera en de hiervan afgeleide webbrowsers.

Sinds versie 3 is het programma niet langer geheel gratis. Beveiliging van de browser is nog wel gratis, maar voor bescherming tegen CryptoLocker-ransomware, die alle bestanden op de computer versleutelt, moet wel worden betaald. Met een enkele licentie van SurfRight kunnen zowel HitmanPro.Alert als HitmanPro worden gebruikt, prijzen beginnen bij twintig euro. Meer informatie hierover is op deze pagina te vinden. De changelog voor deze uitgave ziet er als volgt uit:

Build 363
  • Fixed an issue related to trial activation (bug introduced in build 351).
    If you wanted to try HitmanPro.Alert before but received the error message "This computer already had a free trial", you may want to try again with this new build.

HitmanPro.Alert 3 screenshot (620 pix)

Moderatie-faq Wijzig weergave

Reacties (20)

Ik vond HPA erg hinderlijk bij het downloaden van .zs of andere UNIX bestands formaten. Tevens was er een duidelijk merkbare vertraging in de website rendering. Ook kreeg ik van HPA zelf false positives op een proxy server die lokaal zou moeten zijn (127.0.0.1) maar mogelijk de HPA service zelf is. Al met al vindt ik HPA wel een goed product maar met een dikke maar, het werkt niet lekker met iemand zoals ik die wat geavanceerder gebruik maakt van internet.

- crashes met spotify
- crashes met airfoil
- crashes met ghostery (ff addon)
- encapsuleert alle browser processen (ook meerdere verschillende browsers simultaan)
Iemand positieve of negatieve ervaringen met HitmanPro.Alert? De uitspraken die de makers doen zijn veelbelovend. Ransomware is nog altijd aan een opmars bezig en antivirus lijkt steeds vaker pas te laat een oplossing te bieden.

Voor mijzelf vind ik het niet zo nodig; ik zal geen niet zo snel een verkeerde bijlage openen bijvoorbeeld. Maar bij bekenden die niet zo vaardig zijn op computergebied, ben ik bang dat ze er toch een keer intrappen. Ondanks mijn waarschuwingen en oproep tot back-uppen indien het toch misgaat. Voor hen zou HitmanPro.Alert een optie kunnen zijn.

Iemand meegemaakt dat HitmanPro.Alert versleuteling heeft voorkomen? Bijvoorbeeld bij de recente Locky en CTB locker varianten?
Ik denk dat je toch eerst beter die mensen kan overtuigen om te gaan back-up-en. Of eventueel een servertje voor ze te bouwen dat de routine back-ups voor ze automatiseert (set up and forget, in essentie). Dat is uiteindelijk de goedkoopste en meest betrouwbaarste bescherming. Een product zoals HitmanPro kan je veel minder goed op vertrouwen dan simpele (incrementele) back-ups.

Dat gezegd, indien het geld niet het probleem is, en de systemen voldoende resources hebben, kan het nooit kwaad om HMP naast je AV programma te laten draaien (ik stel expliciet er naast, want programma's zoals HMP en MBAM zijn geen vervangers van AV producten; beide typen producten richten zich op andere delen van je systeem -- daarom heeft bijvoorbeeld mijn MBAM geen conflict met mijn Bitdefender operatie -- en beide spenderen meer aandacht aan andere typen malware in het malware rijk dan AV leveranciers doen). Ik kan tenminste stellen dat MBAM zich duidelijk meer richt op ransomware dan de meeste reguliere AV producten, en ik denk dat HMP ook die insteek heeft. Om maar een voorbeeld te noemen: MBAM was een van de eerste security bedrijven die bescherming bood tegen de eerste moderne crypto-ransomware (Cryptolocker, september 2013). En nu zie je dat ze met bijvoorbeeld CTBlocker weer boven het maaiveld uitsteken: https://www.virustotal.co...5c90/analysis/1458913188/
Als met Locky:
https://www.virustotal.co...5e79fa5d935fec2/analysis/
HMP staat niet tussen die lijsten, maar ik denk dat je een vergelijkbare bescherming zal krijgen.

Het beste wat je denk ik kan doen als je wilt weten of HMP voor jou/hen is, is een trial te installeren op een systeem, dat je na de trial kan formatteren (of installeer de trial minstens in een virtual machine), en probeer wat zero-days aan te komen via een malware repository.
Het is heel belangrijk om te begrijpen hoe VirusTotal werkt. Dat is namelijk een dienst dat bestanden beoordeeld met behulp van alleen statische en heuristisch virushandtekeningen (beide zijn zogenaamde signatures). HMP en HMPA zijn beide in de basis signature-less!

HMP (niet te verwarren met HitmanPro.Alert (HMPA), waar deze post op Tweakers over gaat) is een forensisch gebaseerde scanner - de enige in zijn soort. HMP werkt niet met een lijst met bekende bedreigingen, zoals virushandtekeningen. HMP gaat op zoek naar de bedreiging door zowel het bestandssysteem, register en de systeemactiviteit aan elkaar te correleren en hieruit conclusies te trekken, zoals een 'crime scene investigator' die ter plaatse komt als er een moord is gepleegd. HMP kun je dus ook niet gebruiken als real-time bescherming - dat biedt het ook niet. Het is een second opinion on-demand tool omdat het op zoek gaat naar een reeds gebeurde schadelijke actieviteit of actieve bedreiging. Het werkt echt volledig anders dan andere antivirus en anti-malware software.

HMPA, waar deze post op Tweakers dus over gaat (HitmanPro.Alert), is onze real-time oplossing. Deze werkt in de basis weer totaal anders dan HMP, want HMPA moet bedreigingen buiten de deur houden en/of de schade door bedreigingen voorkomen. De elementen waar HMP (de second opinion tool) naar kijkt bestaan dus nog niet. En om vooral ook totaal nieuwe bedreigingen buiten de deur te kunnen houden kun je sowieso niet met signatures / virushandtekeningen werken. Want het is voor aanvallers heel eenvoudig om het aanzien van hun virus / malware te veranderen dan de werking. Kijk de eerste uren maar eens naar de scan-resultaten van de AV op VirusTotal, het is bedroevend.
HMPA kijkt daarom niet naar hoe een bestand is opgemaakt of hoe het eruit ziet, maar wat het op je computer doet of hoe code op de processor wordt uitgevoerd. Hierdoor kan HMPA niet alleen onbekende zero-day exploits blokkeren maar houdt het ook in de gaten of je documenten nog leesbaar zijn nadat 'iets nieuws' op je computer ze opent en daarna wegschrijft. Op VirusTotal zien heel veel antivirusoplossingen bijvoorbeeld de ransomware die vandaag uit komt niet direct, maar morgen wel. Maar die van morgen zien ze pas overmorgen. HMPA heeft dit probleem dus niet. Het is bedoeld om direct bescherming te bieden tegen bedreigingen die er vandaag anders uit zien en bijvoorbeeld van een nog onbekende of vertrouwde maar gecompromitteerde site komen. Ook al maakt de aanvaller gebruik van legitieme software en/of laat het zijn vuile werk door vertrouwde processen uitvoeren.

Daarom staan HMP en HMPA dus niet op VirusTotal omdat het alleen de mogelijkheid biedt om een beoordeling te doen op basis van een byte-reeks, een virushandtekening. Maar malware-makers pakken alles in en versleutelen het voor elk spamrun / aanval / slachtoffer waardoor een virushandtekening / signature niet direct werk.
HitmanPro.Alert (HMPA) kijkt naar hele andere zaken die voor aanvaller / malware-makers heel moeilijk zijn te veranderen: werking. Zonder dat het updates nodig heeft biedt HitmanPro.Alert nu al bescherming tegen veel bedreigingen die morgen of volgend jaar pas ontdekt worden of verschijnen.

[Reactie gewijzigd door mloman op 7 april 2016 08:35]

Kraak heldere uitleg. Ik wist inderdaad niet dat dat de reden is waarom HMP(A) afwezig is op VT. Moet wel zeggen, als ik niet MBAM premium lifetime licentie al had (zijn ook bezig met een beta voor signtureless detection), had ik zeker naar HMP(A) gekeken. Malwarebytes vraagt MBAM voor 3 systemen voor 2 jaar ¤67,95; jullie 3 systemen voor 3 jaar en ¤59,90 euro.

Echter een vraag: als je bij jullie een licentie koopt -- kan je dan tegelijk de betaalde varianten van HMP én HMPA op het systeem installeren en gebruiken? Of is het 1 licentie per product?

En wat zijn de inhoudelijke verschillen tussen HMP en HMPA. Ik bedoel, ik heb de indruk dat HMPA simpelweg HMP met veel meer extra features. Als dat het geval is, waarom dan toch HMP aanbieden?

En laatste vraag: is een licentie hardware gebonden? Met andere woorden: is het mogelijk om 1 licentie te gebruiken voor meerdere instances op hetzelfde systeem? Dat zou een killer feature zijn voor het gebruik met virtual machines.
Echter een vraag: als je bij jullie een licentie koopt -- kan je dan tegelijk de betaalde varianten van HMP én HMPA op het systeem installeren en gebruiken? Of is het 1 licentie per product?
Een licentie voor beiden.
En wat zijn de inhoudelijke verschillen tussen HMP en HMPA. Ik bedoel, ik heb de indruk dat HMPA simpelweg HMP met veel meer extra features. Als dat het geval is, waarom dan toch HMP aanbieden?
http://www.surfright.nl/nl/alert

Edit, ik las verkeerd, het is nog vroeg, ik dacht te lezen wat het verschil was tussen MBAM zijn software.

HMP is geen realtime beveiliging, maar een second opinion scanner, deze kan nog een hoop vinden welke normale AV's mogelijk door laten glippen.
Alert is hierbij de real-time beveiliging welke ''alerts'' geeft wanneer er wat fout gaat, en mocht er al wat zich op het systeem bevinden kan HMP dit er vaak weer vanaf halen.
Maar schade richt het dan niet meer toe omdat Alert de bedreiging al heeft geneutraliseerd.

[Reactie gewijzigd door CriticalHit_NL op 7 april 2016 09:18]

Dat is uiteindelijk de goedkoopste en meest betrouwbaarste bescherming. Een product zoals HitmanPro kan je veel minder goed op vertrouwen dan simpele (incrementele) back-ups.
Vergeet niet dat cryptolockers netwerk gebieden niet onaangetast laten, daarbij kunnen ze ook een variant ontwikkelen die pas na zoveel maanden in actie komt, en als je in die tussentijd een backup hebt gedraaid is de kans er dat je dit er ook bij opzet.
Daarom bouwen de slimmeriken ook een tweede systeem, dat van de backup server een backup maakt. Het tweede systeem is der mate scripted dat het na het maken van de backup, simpelweg offline gaat.

Edit: en daarom maak je tevens gebruik van versioning. Ook is het misschien verstandig om in te stellen dat je tweede backup systeem bijvoorbeeld maar eens in de maand de backup van de backup maakt. Het is echter onwaarschijnlijk dat binnen een maand een beetje capabel (zelfs gratis) AM programma die specifieke malware nog niet uitschakelt.

[Reactie gewijzigd door PostHEX op 7 april 2016 08:55]

Als je een backup maakt van een map (zeg een fotomap) naar een externe schijf, en de backup software kopieert alleen de nieuwe/ aangepaste bestanden (en je checkt dit handmatig), dan kopieer je de locker toch niet mee omdat deze niet in die fotomap zit (ongeacht of de locker nog niet actief is)?

Ik werk bijv. met syncbackfree via een mirror. Die gaat de 2 locaties eerste scannen en laat zien wat de verschillen tussen de mappen en de backup schijf zijn. Dit doe ik per backupschijf via een ander systeem (mijn primaire dataschijf is ook een externe schijf).

M.a.w. die locker houdt zich toch schuil in een systeem/ gebruikermap en gaat pas bestanden aantasten als deze actief wordt? En als deze pas na een maand een melding geeft dat alles is gelockt, dan zie je bij het handmatig backuppen dat er veel bestanden zijn gewijzigd?

Of bedoel je dat zo'n locker na die periode ook in een image/ backup van je systeem zit en je deze dus terug blijft plaatsen bij herinstall?
Tja je weet het nooit, wie weet kan het zich ook wel nestelen in persoonlijke mappen zonder dat het bestand in file explorers zichtbaar is.
Daarbij kan malware zich volgens mij ook gewoon nestelen binnen bestanden zonder dat dit de werking van de bestanden wordt belemmert.
En wat als het een malware variant betreft die bijvoorbeeld de USB controllers aanvalt, en zich dus ongemerkt weet te exploiteren naar jouw USB schijf, onderschat de malware niet.
HitmanPro.Alert voorkomt dat bestanden versleuteld raken door te kijken of bestanden en masse versleuteld raken. Het werkt heel simpel: het was een werkend Word document, en nu niet meer. Gebeurd dit en masse dan is het een aanval en wordt het terug gedraaid (vanuit tijdelijke kopie die Alert heeft bijgehouden). Super simpel en effectief.

Veel bedrijjven en instellingen maken reeds gebruik van Alert met CryptoGuard (zo heet de module in Alert die ransomware tegengaat) en daar stoppen we dagelijks ransomware terwijl deze langs spam filters, web filters en AV producten is geslipt.

Het is niet zo dat AV ineens heel slecht is geworden tegen ransomware specifiek. Je merkt alleen nu duidelijk dat je geïnfecteerd bent omdat er ineens een melding verschjnt om losgeld te betalen voor je bestanden.

Alert met CryptoGard is al sinds 2013 op de markt:
https://www.security.nl/p...chermt+tegen+CryptoLocker

Hier nog een achtergrond artikel:
https://hitmanpro.wordpre...ight-after-getting-locky/
HitmanPro.Alert voorkomt dat bestanden versleuteld raken door te kijken of bestanden en masse versleuteld raken.
Je ziet meer en meer producten dit soort bescherming bieden. Meerdere anti-virus producten voegen soortgelijke functionaliteit toe aan hun productlijn op dit moment. Bij Bitdefender biedt ransomware protection waarbij je applicaties op een whitelist kunt zetten en applicaties direct hard kunt blokkeren.
Veel bedrijjven en instellingen maken reeds gebruik van Alert met CryptoGuard
Dat is interessant. Ik kom het product vrijwel nooit tegen en ben het in het bedrijfsleven zelfs nog helemaal nooit tegen gekomen. Veel bedrijven kiezen juist voor de meer gevestigde orde / grotere namen als het op malware protectie aankomt.
Wel is het zo dat HitmanPro.Alert géén CryptoGuard for Business use heeft!

Ik heb hierover met hun gemailed:

Hitman:
==========
As of now Hitmanpro.Alert is only available for Home user if your system is a part of any Business or Enterprise module it will not work.
[....]
==========

Ik:
==========
Thanks for the reply.

So if I read your answer right, there is no CryptoGuard for Business use? Are there alternatives?

Regards,
==========

Hitman:
==========
Good Day,

No as of now there is no alternative available but it will get release in second part of 2016.

Please contact us for any further assistance.

Thanks & Regards,
Jwal Shah
HitmanPro Tech Support
==========
Hou het nieuws in de gaten; we hebbenvoor de overname aan veel instanties geleverd.
Ik wil het ook erg graag aanbieden aan een bedrijf van +- 300 mensen, maar ja, dan moet er wel business support zijn voor CryptoGuard.

En juist de HitmanPro support meld mij dat het er (nog) niet is...

Door de mailwisseling ga ik in augustus wel weer een keer kijken.
Iemand positieve of negatieve ervaringen met HitmanPro.Alert?
Ik heb het onlangs geïnstalleerd op een aantal test systemen om te kijken hoe het bevalt. Daarbij viel bij mij op dat het pakket redelijk licht is wat betreft resource gebruik. Dat is al een pluspunt. Echt getest met malware heb ik nog niet kunnen doen vanwege tijdgebrek. Al draaiende liep ik er wel tegen aan dat bijvoorbeeld VMware Workstation meerdere keren vastliep wat zonder HitmanPro.Alert niet het geval was.

Ivm een (trial) license issue heb ik contact opgenomen met de support afdeling. Dat verliep niet geheel naar wens. Men sloot mijn vraag voordat ik een volledig antwoord had en ik had het gevoel dat men niet echt meedacht. Ik kreeg wel snel een reactie.

Ik ben ook wel benieuwd wat de consequenties zijn van de overname van Surfright door Sophos. Ik acht het niet heel onwaarschijnlijk dat de Surfright technologie op termijn zal worden geïntegreerd in de Sophos producten.

Wat ik jammer vind is dat het product niet heel duidelijk gepositioneerd wordt door SurfRight. Het is voor veel mensen onduidelijk wat de toegevoegde waarde nu precies is en of je dit naast een virusscanner of ander anti-malware product mag / kan draaien.

Als je het product wilt kopen kom je ook op een onduidelijk punt. Het is namelijk niet als los product in de Surfright Shop te vinden terwijl het onder Producten wel als los product wordt genoemd.

Als ik de reacties bij o.a. deze versie lees wordt ik nog niet zo heel erg blij; crashes, tcp disconnects etc die afhankelijk lijken te zijn van dit product: downloads: HitmanPro.Alert 3.1.7 build 357

[Reactie gewijzigd door Bor op 7 april 2016 09:29]

Een leuke tip, als je je aanmeld op de nieuwsbrief of een trial license aanvraagt krijg je 15% korting. Doe er je voordeel mee zou ik zeggen :)
Is spijtig genoeg enkel voor 1 user 1 jaar. Wilde 3 users 3 jaar. Heb mail gestuurd om zeker te zijn.
Jammer.
Als ik dit wil downloaden krijg ik een melding van sophos:

While trying to retrieve the URL:http://dl.surfright.nl/hmpalert3.exe
The content is blocked due to the following condition: The item you have requested is infected by a virus. It will not be downloaded.
Report: CXweb/OddDld-A

Kan dit kwaad? of is het een False Positive?
False Positive, digitale handtekening is ook in orde.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True