新版 Kaspersky Anti-Ransomware Tool 分享

anthonyqian

Kaspersky Anti-Ransomware Tool （KART）从推出到现在已经有五年多时间了，但由于卡巴斯基官方没有大力宣传这个小工具，甚至都没在官网首页介绍过它，感觉它一直不温不火的。KART 简单来说，就是把卡巴斯基最精华的两部分（SW主动防御和KSN云保护）提取出来，供大家免费使用。基于这个特性，我认为KART非常适合用来做主防薄弱的杀软的补充。尽管卡巴斯基官方宣称KART可以和市售大多数杀软一起使用，但我觉得不太适合与主防完善且激进的杀软一同使用。因此，我觉得适合与KART搭配使用的杀软包括 ESET、Avira 和 Microsoft Defender。KART我看了一下，是有本地毒库的，也体现了卡巴主防行为监控和本地与云端毒库联动的特点。

KART 应该是在今年全面更新了界面（如下图），使它与卡巴斯基最新的产品风格保持一致。暗黑色的配色让整个产品显得富有科技感。



下面从激活开始，欣赏一下KART的全新的界面吧~

首先，和旧版KART一样，需要填写一下个人信息获取激活码才能使用。





新版的KART加入了（鸡肋的）病毒扫描功能，我有点忘了旧版KART有没有扫描功能，印象里好像是没有的。新加入的扫描器只能在联网环境下使用，应该是由于本地没有完整病毒库的关系，全靠KSN进行扫描，这一点非常像诺顿的Power Eraser。 扫描出威胁后，无法自动移除病毒，只能自动加入阻止清单，你也可以根据路径手动删除。而且这个扫描器有每周扫描一次的设定，你还无法关闭。不过据我观察，KART的扫描属于低优先级扫描，占用的CPU比较少，速度也略慢和KIS的后台扫描颇为类似，对日常使用干扰不明显。





功能方面如下图，虽然叫防勒索，但其实各种类型的威胁只要主防或KSN能识别，都能杀。



下面是重头戏，主动防御，卡巴斯基的主动防御是本地和云端联动的：

1) 当双击/执行了一个被云端KSN拉黑的程序后，KART会立即拦截，报PDM:Trojan.Win32.Bazon.a





2) 当你双击了一个云端尚未拉黑，但被本地主防规则识别的程序后，KART也会立即拦截，并回滚恶意软件的操作，报PDM:Trojan.Win32.Generic



3) KART暂时没有反锁屏快捷键

从我的测试来看，我觉得KART基本完美复制了SW主防系统，并用一种精简且灵活的方式呈现了出来。

KART没有暂时关闭保护的选项，想要暂时关闭保护，只能退出KART或者将被拦截的程序加入信任列表。



性能方面，我没有注意到明显的性能下降，现在卡巴斯基全功能产品性能已经做的不错了，KART对系统性能的影响只会更小。



从卡巴斯基最近对KART全面升级看出，官方并没有放弃这款产品。但是需要注意的是，由于应用程序控制的缺失，我不能确定这对SW主防是否会有不利影响。

——————

关于与ESET的搭配

如果要将ESET和KART进行搭配，我建议将KART的程序路径添加到ESET的排除目录中：

1. 打开“高级设置”，点击左侧的“检测引擎”，在右侧找到“排除”，在“性能排除”和“检测排除”中加入如下路径：

C:\Program Files (x86)\Kaspersky Lab\*
C:\ProgramData\Kaspersky Lab\AntiRansom4\*

2. 然后在右侧找到“文件系统实时防护”，在“基本”下找到“进程排除”，加入如下路径：

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 4\anti_ransom.exe

3. 最后在右侧找到“HIPS”，在“基本”下找到“深度行为检测”，排除如下进程：

C:\Program Files (x86)\Kaspersky Lab\*

——————————

非官方汉化版：https://bbs.kafan.cn/thread-2236088-1-1.html

wuming_bpnes

刚才就在折腾KART……打算写个简测，但大佬先动笔了
厚颜无耻的用大佬的贴带一点个人“私货”了（样本出自论坛样本区）均在虚拟机+断网条件下测试，个人感觉至少有约6成的KIS的主防水平。
随便测了6个，2个老毒，3个新毒,外加1个Rootkit。
新毒miss2个。联网的话可能情况会好不少。
顺便一提，坛友自制的“勒索”会被过。
==================================
2022/04/15补

KTS病毒库为2021/05/04且断网情况，其完整主防小优于KART。且KART需要回滚操作，而KTS直接双击杀。上文对KART的SW判断目前来看应该是没啥大问题的。

==================================
下图是04/14测试，详细可看图片名

wuming_bpnes

anthonyqian 发表于 2022-4-15 09:16
看起来应用程序控制也得关～

测试结果……跟KART没差别……
KTS能拦的，KART都能拦。KART拦不住的，目前样本来看KTS也没辙……

WAR314159

国产的火绒也可以加上去

anthonyqian

WAR314159 发表于 2022-4-14 11:34
国产的火绒也可以加上去

火绒没咋用过，但感觉也是有一套完整主防的吧

bbszy

其实就是帮助卡巴扩大样本收集面的一个产品

onedrive

anthonyqian 发表于 2022-4-13 19:37
火绒没咋用过，但感觉也是有一套完整主防的吧

有手动关KSN的开关吗，不想被自动上传

kuroandsan

配ESET是不是很优秀啊

onedrive

kuroandsan 发表于 2022-4-13 21:00
配ESET是不是很优秀啊

vaedzy，eset小粉丝等人找到了新的玩具，重新拾起对ESET的信息（对KART）

bbs2811125

每周自己扫一次这个真的无法接受，另外不能处理扫描到的威胁也不方便
不过作为抢客户的手段倒是不错的策略

anthonyqian

bbszy 发表于 2022-4-14 12:22
其实就是帮助卡巴扩大样本收集面的一个产品

我觉得这不是主要目的，不然肯定大力推广了

anthonyqian

bbs2811125 发表于 2022-4-14 13:30
每周自己扫一次这个真的无法接受，另外不能处理扫描到的威胁也不方便
不过作为抢客户的手段倒是不错的策略 ...

不能处理倒没啥，主要是自动扫描比较烦，不过目前发现扫描资源占用还行