新版 Kaspersky Anti-Ransomware Tool 分享

anthonyqian

Kaspersky Anti-Ransomware Tool （KART）从推出到现在已经有五年多时间了，但由于卡巴斯基官方没有大力宣传这个小工具，甚至都没在官网首页介绍过它，感觉它一直不温不火的。KART 简单来说，就是把卡巴斯基最精华的两部分（SW主动防御和KSN云保护）提取出来，供大家免费使用。基于这个特性，我认为KART非常适合用来做主防薄弱的杀软的补充。尽管卡巴斯基官方宣称KART可以和市售大多数杀软一起使用，但我觉得不太适合与主防完善且激进的杀软一同使用。因此，我觉得适合与KART搭配使用的杀软包括 ESET、Avira 和 Microsoft Defender。KART我看了一下，是有本地毒库的，也体现了卡巴主防行为监控和本地与云端毒库联动的特点。

KART 应该是在今年全面更新了界面（如下图），使它与卡巴斯基最新的产品风格保持一致。暗黑色的配色让整个产品显得富有科技感。



下面从激活开始，欣赏一下KART的全新的界面吧~

首先，和旧版KART一样，需要填写一下个人信息获取激活码才能使用。





新版的KART加入了（鸡肋的）病毒扫描功能，我有点忘了旧版KART有没有扫描功能，印象里好像是没有的。新加入的扫描器只能在联网环境下使用，应该是由于本地没有完整病毒库的关系，全靠KSN进行扫描，这一点非常像诺顿的Power Eraser。 扫描出威胁后，无法自动移除病毒，只能自动加入阻止清单，你也可以根据路径手动删除。而且这个扫描器有每周扫描一次的设定，你还无法关闭。不过据我观察，KART的扫描属于低优先级扫描，占用的CPU比较少，速度也略慢和KIS的后台扫描颇为类似，对日常使用干扰不明显。





功能方面如下图，虽然叫防勒索，但其实各种类型的威胁只要主防或KSN能识别，都能杀。



下面是重头戏，主动防御，卡巴斯基的主动防御是本地和云端联动的：

1) 当双击/执行了一个被云端KSN拉黑的程序后，KART会立即拦截，报PDM:Trojan.Win32.Bazon.a





2) 当你双击了一个云端尚未拉黑，但被本地主防规则识别的程序后，KART也会立即拦截，并回滚恶意软件的操作，报PDM:Trojan.Win32.Generic



3) KART暂时没有反锁屏快捷键

从我的测试来看，我觉得KART基本完美复制了SW主防系统，并用一种精简且灵活的方式呈现了出来。

KART没有暂时关闭保护的选项，想要暂时关闭保护，只能退出KART或者将被拦截的程序加入信任列表。



性能方面，我没有注意到明显的性能下降，现在卡巴斯基全功能产品性能已经做的不错了，KART对系统性能的影响只会更小。



从卡巴斯基最近对KART全面升级看出，官方并没有放弃这款产品。但是需要注意的是，由于应用程序控制的缺失，我不能确定这对SW主防是否会有不利影响。

——————

关于与ESET的搭配

如果要将ESET和KART进行搭配，我建议将KART的程序路径添加到ESET的排除目录中：

1. 打开“高级设置”，点击左侧的“检测引擎”，在右侧找到“排除”，在“性能排除”和“检测排除”中加入如下路径：

C:\Program Files (x86)\Kaspersky Lab\*
C:\ProgramData\Kaspersky Lab\AntiRansom4\*

2. 然后在右侧找到“文件系统实时防护”，在“基本”下找到“进程排除”，加入如下路径：

C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Ransomware Tool for Home 4\anti_ransom.exe

3. 最后在右侧找到“HIPS”，在“基本”下找到“深度行为检测”，排除如下进程：

C:\Program Files (x86)\Kaspersky Lab\*

——————————

非官方汉化版：https://bbs.kafan.cn/thread-2236088-1-1.html

wuming_bpnes

刚才就在折腾KART……打算写个简测，但大佬先动笔了
厚颜无耻的用大佬的贴带一点个人“私货”了（样本出自论坛样本区）均在虚拟机+断网条件下测试，个人感觉至少有约6成的KIS的主防水平。
随便测了6个，2个老毒，3个新毒,外加1个Rootkit。
新毒miss2个。联网的话可能情况会好不少。
顺便一提，坛友自制的“勒索”会被过。
==================================
2022/04/15补

KTS病毒库为2021/05/04且断网情况，其完整主防小优于KART。且KART需要回滚操作，而KTS直接双击杀。上文对KART的SW判断目前来看应该是没啥大问题的。

==================================
下图是04/14测试，详细可看图片名

wuming_bpnes

anthonyqian 发表于 2022-4-15 09:16
看起来应用程序控制也得关～

测试结果……跟KART没差别……
KTS能拦的，KART都能拦。KART拦不住的，目前样本来看KTS也没辙……

WAR314159

国产的火绒也可以加上去

anthonyqian

WAR314159 发表于 2022-4-14 11:34
国产的火绒也可以加上去

火绒没咋用过，但感觉也是有一套完整主防的吧

bbszy

其实就是帮助卡巴扩大样本收集面的一个产品

onedrive

anthonyqian 发表于 2022-4-13 19:37
火绒没咋用过，但感觉也是有一套完整主防的吧

有手动关KSN的开关吗，不想被自动上传

kuroandsan

配ESET是不是很优秀啊

onedrive

kuroandsan 发表于 2022-4-13 21:00
配ESET是不是很优秀啊

vaedzy，eset小粉丝等人找到了新的玩具，重新拾起对ESET的信息（对KART）

bbs2811125

每周自己扫一次这个真的无法接受，另外不能处理扫描到的威胁也不方便
不过作为抢客户的手段倒是不错的策略

anthonyqian

bbszy 发表于 2022-4-14 12:22
其实就是帮助卡巴扩大样本收集面的一个产品

我觉得这不是主要目的，不然肯定大力推广了

anthonyqian

bbs2811125 发表于 2022-4-14 13:30
每周自己扫一次这个真的无法接受，另外不能处理扫描到的威胁也不方便
不过作为抢客户的手段倒是不错的策略 ...

不能处理倒没啥，主要是自动扫描比较烦，不过目前发现扫描资源占用还行

1159614431

anthonyqian 发表于 2022-4-14 13:50
不能处理倒没啥，主要是自动扫描比较烦，不过目前发现扫描资源占用还行

这个KART只能阻止不能删除，很鸡肋

theking988

可以了，我安装个玩玩。

anthonyqian

1159614431 发表于 2022-4-14 15:14
这个KART只能阻止不能删除，很鸡肋

如果是跟我一样当辅助工具，问题不大~

chuxuana

可以单独使用吗 开启时wd会自动关闭吗，

huawei_518

对比现在的21.5免费版，这个工具感觉就很鸡肋了，做个搭配辅助，也没太大意义。。。

anthonyqian

chuxuana 发表于 2022-4-14 19:24
可以单独使用吗 开启时wd会自动关闭吗，

由于定位不是全功能杀软，当然也不会注册安全中心，因此MD不会关闭

anthonyqian

huawei_518 发表于 2022-4-14 19:29
对比现在的21.5免费版，这个工具感觉就很鸡肋了，做个搭配辅助，也没太大意义。。。

和ESET搭配还是有可取之处的，毕竟个人感觉 ESET的扫描表现比卡巴斯基好一丢丢。。。而且有些电脑由于各种原因可能装不了卡巴完整版，装这个搭配其他杀软也可

huawei_518

anthonyqian 发表于 2022-4-14 19:35
和ESET搭配还是有可取之处的，毕竟个人感觉 ESET的扫描表现比卡巴斯基好一丢丢。。。而且有些电脑由于各 ...

嗯，各有所长，但是这个工具带主防，在后台可能会和ESET有点对掐，还有只有个英文版，在国内估计也没什么人用，对于想折腾的人还是不错的选择...

anthonyqian

huawei_518 发表于 2022-4-14 19:41
嗯，各有所长，但是这个工具带主防，在后台可能会和ESET有点对掐，还有只有个英文版，在国内估计也没什么 ...

我觉得和ESET搭配问题不大，因为ESET主防比较单薄，也没有回滚，顶多是一个行为拦截器。卡巴官方说可以和大多数杀软搭配，我相信他们应该是测试了ESET了吧 而且在安装ESET的时候，安装程序也没有说不兼容

当然和Avira搭配应该更是没问题了，毕竟Avira基本没行为监控

君の问题

小狮子的剑是不是被暴打了