Aktualizacja:Wygląda na to, że CyberSight RansomStopper już nie istnieje - a przynajmniej nie ma śladu strony internetowej ani żadnych śladów jakiejkolwiek aktywności na kanale firmy na Twitterze od ponad roku. Opuściliśmy naszą recenzję poniżej, więc nadal możesz przeczytać naszą ocenę produktu, jeśli jesteś ciekawy, ale ponieważ wydaje się, że nie jest już dostępny, możesz spojrzeć na Avast Free Ransomware Decryption Tools jako alternatywę, która jest naszym topem wybierz najlepsze darmowe oprogramowanie do ochrony przed ransomware.
Oryginalna recenzja znajduje się poniżej…
CyberSight RansomStopper to interesujące narzędzie, które wykorzystuje wiele technik do ochrony przed wszystkimi typami oprogramowania ransomware, od znanych po najnowsze pojawiające się zagrożenia.
Zaczyna się od analizowania przez RansomStopper nieznanych aplikacji przed ich uruchomieniem, co pozwala blokować niektóre programy ransomware, zanim jeszcze zostaną uruchomione.
Po uruchomieniu procesu rozpoczyna się analiza behawioralna, a RansomStopper zawsze szuka działań podobnych do złośliwego oprogramowania.
- Możesz zarejestrować się w CyberSight RansomwareStopper tutaj
Jest to uzupełniane przez to, co CyberSight nazywa „inteligentnymi pułapkami” (inne produkty nazywają je pułapkami na miód), fałszywe pliki i foldery, które RansomStopper stale monitoruje pod kątem ataku.
Według serwisu wsparcie dla uczenia maszynowego zapewnia „automatyczne i ciągłe uczenie się”. Brzmi świetnie, chociaż jak w przypadku twierdzeń każdej firmy o „uczeniu maszynowym”, użytkownik końcowy nie może zobaczyć, jak naprawdę jest to skuteczne.
Wszystkie te funkcje są dostępne bezpłatnie w wydaniu RansomStopper's Home i Personal. To dobrze, chociaż istnieje jedno istotne zaniedbanie: darmowy produkt nie zapewnia żadnej ochrony dla krytycznych regionów dysku, takich jak MBR, narażając Cię na niektóre typy złośliwego oprogramowania. (Chociaż jest to problem, może nie mieć większego znaczenia, jeśli Twój obecny program antywirusowy już to obsługuje).
RansomStopper's Business Edition dodaje MBR i powiązane zabezpieczenia, ale poza tym koncentruje się na funkcjach związanych z biznesem: obsługa systemu Windows Server (08, 12, 16), zasady grupy, administracja centralna, alerty e-mail, raportowanie i nie tylko.
RansomStopper Business kosztuje od 19,95 USD (15,35 GBP) za jeden komputer, roczną licencję lub 69,95 USD (53,81 GBP) za ochronę jednego serwera. Jeśli wydaje ci się to za dużo, przedłużenie okresu licencji daje ci zniżkę, a na przykład ochrona pojedynczego serwera przez trzy lata kosztuje 146,91 USD (113 GBP).
Ustawiać
Kliknięcie linku Pobierz w witrynie RansomStopper spowodowało przejście do formularza z prośbą o podanie imienia i nazwiska oraz adresu e-mail. Po ustaleniu, że CyberSight może wysyłać nam e-maile promocyjne (zgodę, którą mogliśmy wycofać w dowolnym momencie poprzez rezygnację z subskrypcji), mogliśmy pobrać i zainstalować RansomStopper.
Sprawdzając nasz system, stwierdziliśmy, że RansomStopper dodał do naszego systemu trzy procesy działające w tle, wykorzystując około 110 MB pamięci RAM. To prawdopodobnie nie będzie przeszkadzać większości ludzi, ale to coś więcej niż część konkurencji, głównie dlatego, że pakiet używa nieporęcznego GUI opartego na Chromium.
Stuknięcie ikony w zasobniku systemowym RansomStopper wyświetla prosty interfejs z trzema listami (procesy dozwolone, procesy zablokowane i poddane kwarantannie, alerty zabezpieczeń) oraz przycisk „Sprawdź aktualizacje”. Może to pomóc, jeśli RansomStopper popełni błąd, na przykład umożliwiając ponowne uruchomienie fałszywie oznaczonej aplikacji, ale w przeciwnym razie możesz pozostawić uruchomiony program i całkowicie zapomnieć o konsoli.
Uważamy, że ważne jest, aby produkty zabezpieczające mogły zapobiegać zakłóceniom ze strony złośliwego oprogramowania, a większość silników antywirusowych ma jakąś formę samoobrony, która pomaga im w tym właśnie. Niestety, CyberSight nie wydaje się działać w ten sam sposób.
Na przykład, gdy próbowaliśmy zamknąć procesy RansomStopper, spodziewaliśmy się pewnego rodzaju błędu dostępu. Ale nie: podstawowe procesy po prostu się wyłączają, bez ostrzeżenia lub alertu. Każdy inny proces może zrobić to samo, nawet z pliku wsadowego, bez uprawnień administratora.
Procesy użytkownika dotyczą głównie interfejsu. Prawdziwa praca RansomStopper odbywa się w jego usłudze, a ta nadal działała, więc nadal byliśmy chronieni, prawda? Cóż, niekoniecznie, a przynajmniej nie na długo. Jeśli aplikacja ma uprawnienia administratora, może zatrzymać usługę tak łatwo, jak może zabić procesy.
RansomStopper próbuje sobie z tym poradzić, okresowo restartując usługę, ale nie ma własnego mechanizmu, który to robi. Zamiast tego konfiguruje zaplanowane zadanie systemu Windows, które ma uruchamiać się co pięć minut, uruchamiając skrypt, który z kolei ponownie uruchomi usługę, jeśli zostanie zatrzymana.
Złośliwe oprogramowanie nie może usunąć ani zmienić tego zadania, ale zauważyliśmy, że proces z uprawnieniami administratora może zastąpić skrypt restartu (i inne pliki RansomStopper) własnym kodem, uruchamiając dowolny kod, który mu się podoba. Zrobiliśmy to, zatrzymaliśmy usługę RansomStopper i czekaliśmy.
Pięć minut później rozpoczęło się zaplanowane zadanie i uruchomiło nasz wybrany proces BadApp.exe z prawami systemowymi (to znaczy nawet silniejszymi niż administrator). Gdyby nasz proces naprawdę był złośliwy, niewiele byłoby, gdybyśmy tego nie robili. w stanie zrobić. A nawet jeśli w pewnym momencie się nie powiedzie, zadanie ponownego uruchomienia RansomStopper uruchomi je ponownie w ciągu pięciu minut.
W praktyce dla przeciętnego użytkownika nie będzie to miało większego znaczenia. Większość programów ransomware nie będzie zawracać sobie głowy szukaniem pakietów chroniących przed oprogramowaniem ransomware. Większość z nich nie będzie szukać RansomStopper. Większość z tych, które pozostały, nie będzie miała uprawnień administratora, aby zagrozić jego ochronie. A jeśli masz złośliwy kod na swoim komputerze działającym z uprawnieniami administratora, i tak masz poważne kłopoty.
Ale nadal istnieje przynajmniej teoretyczne ryzyko, że zagrożenie może użyć prostych sztuczek, które opisaliśmy, aby wyłączyć lub obalić ochronę RansomStopper, i nie jest to problem, który widzieliśmy do tego stopnia w przypadku większości konkurencji. Na przykład Emsisoft Anti-Malware odpowiednio chroni swój kod, a nawet jeśli działa z uprawnieniami administratora, złośliwe oprogramowanie nie może łatwo zamknąć procesów Emsisoft ani zatrzymać usług. Są to podstawowe kroki, które należy wykonać, aby każdy dobry produkt zabezpieczający mógł zostać podjęty, a CyberSight pilnie musi dodać ten sam poziom ochrony do RansomStopper.
Ochrona
Podczas przeglądania pakietów antywirusowych sprawdzamy ich wyniki z niezależnych laboratoriów testowych, aby poznać ich działanie. Niestety laboratoria rzadko, jeśli w ogóle, przyglądają się oprogramowaniu anty-ransomware, więc postanowiliśmy ponownie przeprowadzić kilka mniejszych testów.
Proces rozpoczął się bardzo dobrze, a narzędzie RansomStopper zablokowało wszystkie znane nam próbki ransomware. CyberSight twierdzi, że pakiet może automatycznie przywracać uszkodzone pliki, ale nie wydawało się to konieczne, ponieważ nasze zagrożenia zostały najwyraźniej zablokowane, zanim mogły cokolwiek zaszyfrować.
Chociaż był to świetny początek, nasze próbki testowe były dobrze znane i spodziewalibyśmy się, że jakiekolwiek przyzwoite narzędzie do ochrony przed ransomware je zablokuje. Dlatego też porównaliśmy RansomStopper z naszym własnym symulatorem ransomware, niestandardowym kodem zaprojektowanym do przeszukiwania drzewa folderów testowych i próby zaszyfrowania tysięcy dokumentów. Ponieważ sami to opracowaliśmy, jego zachowanie będzie prawdopodobnie inne niż wszystko, z czym spotkał się RansomStopper, co czyni go trudniejszym testem jego możliwości.
Wyniki były trochę rozczarowujące, ponieważ RansomStopper całkowicie zignorował nasz kod, umożliwiając zaszyfrowanie tysięcy rzeczywistych dokumentów w ciągu kilku sekund.
Nie pasuje to do niektórych innych przetestowanych przez nas technologii ochrony przed oprogramowaniem ransomware. Zwykłe pakiety antywirusowe Bitdefender i Kaspersky wykryły zarówno rzeczywiste zagrożenia, jak i nasz własny symulator ransomware, przywracając nawet kilka plików, które zdołał zaszyfrować.
Mimo to, mimo że nagradzamy dostawców, takich jak Bitdefender i Kaspersky, za zdanie naszego testu symulatora, nie karamy firm, które go nie zaliczyły. Nasze zagrożenie testowe nie było prawdziwym złośliwym oprogramowaniem i można argumentować, że CyberSight podjął właściwą decyzję, ignorując je. Nie jesteśmy tego pewni, ale wiemy, że CyberSight niemal natychmiast zablokował nasze próbki ransomware w prawdziwym świecie i to były testy, które naprawdę się liczyły.
Ostateczny werdykt
RansomStopper z łatwością zablokował wszystkie nasze testowe oprogramowanie ransomware, ale obawiamy się, że może zostać wyłączone w niektórych sytuacjach lub wykorzystane do jeszcze gorszego ataku. Samo w sobie jest to złe, ale zastanawiamy się również, jakie inne problemy mogą czaić się pod maską.
- Podkreśliliśmy również najlepsze oprogramowanie chroniące przed oprogramowaniem ransomware
