Актуализация:Изглежда, че CyberSight RansomStopper вече не съществува - или поне няма следа от уебсайта или няма следи от каквато и да е активност в емисията на компанията в Twitter за повече от година. Оставихме рецензията си по-долу, за да можете да прочетете нашата оценка на продукта, ако сте любопитни, но тъй като изглежда вече не е налице, може да погледнете Avast Free Ransomware Decryption Tools като алтернатива, която е нашият топ избор на най-добрия безплатен софтуер против рансъмуер.
Оригиналният отзив следва по-долу …
CyberSight RansomStopper е интересен инструмент, който използва множество техники, за да ви предпази от всички видове рансъмуер, от известни до най-новите възникващи заплахи.
Това започва с RansomStopper, който анализира неизвестни приложения, преди да се изпълнят, което му позволява да блокира някои рансъмуери, преди дори да може да стартира.
След като процесът стартира, започва поведенчески анализ, като RansomStopper винаги търси действия, подобни на злонамерен софтуер.
- Можете да се регистрирате за CyberSight RansomwareStopper тук
Това се допълва от това, което CyberSight нарича „интелигентни капани“ (други продукти ги наричат „капан за мед“), фиктивни файлове и папки, които RansomStopper постоянно следи за атака.
Поддръжката за машинно обучение гарантира „автоматизирано и непрекъснато обучение“, според уебсайта. Звучи страхотно, въпреки че както при твърденията на всяка компания за „машинно обучение“, няма начин крайният потребител да разбере колко ефективно е това всъщност.
Всички тези функции са достъпни безплатно в домашно и лично издание на RansomStopper. Това е добре, въпреки че има един съществен пропуск: безплатният продукт не предлага никаква защита за критични дискови региони като MBR, оставяйки ви изложени на някои типове зловреден софтуер. (Макар че това е проблем, може да няма голямо значение дали вашият съществуващ антивирус вече се справя с това.)
Бизнес изданието на RansomStopper добавя MBR и свързаните с него защити, но иначе се фокусира върху свързаните с бизнеса функции: поддръжка на Windows Server (08, 12, 16), групова политика, централна администрация, предупреждения по имейл, отчитане и др.
RansomStopper Business е на цена от $ 19,95 (£ 15,35) за един компютър, едногодишен лиценз или $ 69,95 (£ 53,81) за защита на един сървър. Ако това ви се струва твърде много, удължаването на срока на лиценза ви дава отстъпка и например защитата на един сървър в продължение на три години струва $ 146,91 (£ 113).
Настройвам
Докосването на връзката за изтегляне на уебсайта RansomStopper ни отведе до форма, в която се иска нашето име и имейл адрес. След като се бяхме договорили, че CyberSight може да ни изпраща промоционални имейли (съгласие, което можем да оттеглим по всяко време, като се отпишем), успяхме да изтеглим и инсталираме RansomStopper.
Проверявайки нашата система, открихме, че RansomStopper е добавил три фонови процеса към нашата система, използвайки около 110MB RAM. Това вероятно няма да притесни повечето хора, но това е повече от част от конкуренцията, най-вече защото пакетът използва обемист графичен интерфейс, базиран на Chromium.
Докосването на иконата на системната лента на RansomStopper показва прост интерфейс с три списъка (разрешени процеси, блокирани и поставени под карантина процеси, сигнали за сигурност) и бутон „Проверка за актуализации“. Това може да помогне, ако RansomStopper допусне грешка, например ви позволява да активирате отново фалшиво маркирано приложение, но в противен случай можете да оставите програмата да работи и да забравите за конзолата изцяло.
Смятаме, че е важно продуктите за сигурност да могат да се предпазят от намеса от зловреден софтуер и повечето антивирусни машини имат някаква форма на самозащита, която да им помогне да направят точно това. За съжаление, CyberSight изглежда не се чувства по същия начин.
Когато например се опитахме да затворим процесите на RansomStopper, очаквахме някакъв вид грешка в достъпа. Но не: основните процеси просто се изключват, без предупреждение или предупреждение. Всеки друг процес може да направи същото, дори от партиден файл, без администраторски права.
Потребителските процеси са предимно за интерфейса. Истинската работа на RansomStopper се случва в неговата услуга и това все още работи, така че все още бяхме защитени, нали? Е, не е задължително или поне не за дълго. Ако дадено приложение има права на администратор, то може да спре услугата толкова лесно, колкото може да убие процесите.
RansomStopper се опитва да се справи с това, като рестартира услугата периодично, но няма собствен механизъм за това. Вместо това той настройва задача по Windows, която да се изпълнява на всеки пет минути, стартирайки скрипт, който от своя страна ще рестартира услугата, ако бъде спряна.
Злонамереният софтуер не може да изтрие или промени тази задача, но забелязахме, че процес с администраторски права може да замени скрипта за рестартиране (и други файлове на RansomStopper) със собствен код, стартирайки който и да е код. Направихме това, спряхме услугата RansomStopper и зачакахме.
Пет минути по-късно планираната задача стартира и тя стартира избрания от нас процес BadApp.exe със системни права (т.е. дори по-мощен от администратор.) Ако процесът ни наистина беше злонамерен, много малко не би било в състояние да направи. И дори да се провали в даден момент, заданието за рестартиране на RansomStopper ще го стартира отново в рамките на пет минути.
На практика за обикновения потребител това няма да има голяма разлика. Повечето рансъмуери няма да се притесняват да търсят анти-рансъмуерни пакети. Повечето, които го правят, няма да търсят RansomStopper. Повечето от тези, които са останали, няма да имат администраторски права да компрометират защитата си. И ако на компютъра ви има злонамерен код, работещ с права на администратор, така или иначе имате големи проблеми.
Но все още съществува поне теоретичен риск една заплаха да използва опростените трикове, които описахме, за да деактивира или подкопае защитата на RansomStopper, и това не е проблем, който сме виждали в тази степен с по-голямата част от конкуренцията. Emsisoft Anti-Malware например защитава своя код правилно и дори ако работи с права на администратор, зловредният софтуер не може лесно да затвори процесите на Emsisoft или да спре услугите си. Това са основни стъпки за всеки добър продукт за сигурност и CyberSight спешно трябва да добави същото ниво на защита към RansomStopper.
Защита
Когато преглеждаме антивирусни пакети, проверяваме резултатите от независимите лаборатории за тестване, за да разберем как се представят. За съжаление лабораториите рядко, ако изобщо разглеждат анти-рансъмуер, така че се върнахме към провеждането на някои наши по-малки тестове.
Процесът започна много добре, като RansomStopper блокира всички наши известни проби за рансъмуер. CyberSight казва, че пакетът може автоматично да възстановява повредени файлове, но това изглежда не е било необходимо, тъй като нашите заплахи очевидно са били блокирани, преди изобщо да могат да криптират нещо.
Макар че това беше чудесно начало, тестовите ни проби бяха добре познати и бихме очаквали всеки приличен анти-рансъмуерен инструмент да ги блокира. Ето защо ние също така насочихме RansomStopper към собствения си симулатор на рансъмуер, персонализиран код, предназначен да прокара паяк през дървото за тестови папки и да се опита да криптира хиляди документи. Тъй като сами разработихме това, поведението му вероятно ще се различава от всичко друго, с което се е сблъсквал RansomStopper, което го прави по-строг тест за способностите му.
Резултатите бяха малко разочароващи, тъй като RansomStopper игнорира изцяло нашия код, позволявайки му да криптира хиляди реални документи в рамките на секунди.
Това не съвпада с някои от другите анти-рансъмуерни технологии, които сме тествали. Редовните антивирусни пакети на Bitdefender и Kaspersky откриват както реални заплахи, така и нашия собствен симулатор на рансъмуер, дори възстановяват малкото файлове, които е успял да шифрова.
И все пак, макар да кредитираме доставчици като Bitdefender и Kaspersky, че са преминали нашия симулаторен тест, ние не наказваме компании, които не успяват. Нашата тестова заплаха не беше истински злонамерен софтуер и можете да твърдите, че CyberSight е взел правилното решение, като го е игнорирал. Не сме сигурни в това, но това, което знаем, е, че CyberSight блокира нашите реални проби от рансъмуер почти веднага и това бяха тестовете, които наистина имат значение.
Окончателна присъда
RansomStopper блокира с лекота целия ни тестов рансъмуер, но сме загрижени от възможността той да бъде деактивиран в някои ситуации или експлоатиран, за да направи атаката още по-лоша. Това само по себе си е лошо, но също така ни оставя да се чудим какви други проблеми може да се крият под капака.
- Ние също така подчертахме най-добрия софтуер против рансъмуер
