Ažuriranje:Čini se da CyberSight RansomStopper više ne postoji - ili barem nema traga web stranici ili nema znakova bilo kakve aktivnosti na feedu tvrtke Twitter više od godinu dana. U nastavku smo ostavili našu recenziju kako biste i dalje mogli pročitati našu ocjenu proizvoda ako ste znatiželjni, no kako naizgled više nije dostupan, možda biste htjeli pogledati Avast Free Ransomware Decryption Tools kao alternativu, koja je naš vrh odaberite najbolji besplatni anti-ransomware softver.
Izvorna recenzija slijedi u nastavku …
CyberSight RansomStopper zanimljiv je alat koji koristi više tehnika kako bi vas zaštitio od svih vrsta ransomwarea, od poznatih do najnovijih prijetnji u nastajanju.
Ovo započinje tako što RansomStopper analizira nepoznate aplikacije prije nego što se izvrše, omogućujući mu da blokira neki ransomware prije nego što uopće može pokrenuti.
Jednom kada se proces pokrene, započinje analiza ponašanja, pri čemu RansomStopper uvijek pazi na akcije slične zlonamjernom softveru.
- Ovdje se možete prijaviti za CyberSight RansomwareStopper
To je dopunjeno onim što CyberSight naziva 'pametnim zamkama' (drugi ih proizvodi nazivaju zamkama za med), lažnim datotekama i mapama koje RansomStopper neprestano nadzire zbog napada.
Podrška za strojno učenje osigurava 'automatizirano i kontinuirano učenje', stoji na web mjestu. Zvuči sjajno, iako kao i kod tvrdnji o "strojnom učenju" svake tvrtke, krajnji korisnik ne može vidjeti koliko je to zapravo učinkovito.
Sve ove značajke dostupne su besplatno u izdanju RansomStopper za dom i osobno. To je dobro, iako postoji jedan značajan propust: besplatni proizvod ne nudi nikakvu zaštitu za kritična područja diska, poput MBR-a, ostavljajući vas izloženima nekim vrstama zlonamjernog softvera. (Iako je to problem, možda neće biti važno ako to već rješava vaš postojeći antivirus.)
RansomStopper-ovo poslovno izdanje dodaje MBR i povezane zaštite, ali se inače fokusira na poslovne značajke: podrška za Windows Server (08, 12, 16), pravila grupe, središnja administracija, upozorenja e-poštom, izvještavanje i još mnogo toga.
Cijena RansomStopper Business košta 19,95 USD (15,35 GBP) za jedno računalo, jednogodišnju licencu ili 69,95 USD (53,81 GBP) za zaštitu jednog poslužitelja. Ako vam to zvuči previše, produženjem roka trajanja licence osiguravate popust, a na primjer zaštita jednog poslužitelja tijekom tri godine košta 146,91 USD (113 GBP).
Postaviti
Kucanjem veze za preuzimanje na web mjestu RansomStopper odveli smo se do obrasca u kojem se traži naše ime i adresa e-pošte. Nakon što smo se dogovorili da nam CyberSight može slati promotivne e-poruke (pristanak koji možemo povući u bilo kojem trenutku odjavom pretplate), mogli smo preuzeti i instalirati RansomStopper.
Provjeravajući naš sustav, otkrili smo da je RansomStopper dodao tri pozadinska procesa u naš sustav, koristeći oko 110 MB RAM-a. To vjerojatno neće smetati većini ljudi, ali to je više od neke konkurencije, ponajviše zato što paket koristi glomazan GUI zasnovan na Chromiumu.
Kucanje na ikonu sistemske trake RansomStopper prikazuje jednostavno sučelje s tri popisa (Dopušteni procesi, Blokirani i karantenski procesi, Sigurnosna upozorenja) i gumbom "Provjeri ažuriranja". To bi moglo pomoći ako RansomStopper pogriješi, primjerice, dopušta vam da ponovno pokrenete aplikaciju s lažno označenom oznakom, ali u suprotnom možete pustiti program pokrenut i zaboraviti na konzolu u potpunosti.
Smatramo da je važno da se sigurnosni proizvodi mogu spriječiti od ometanja zlonamjernim softverom, a većina antivirusnih strojeva ima neki oblik samoobrane koji im pomaže u tome. Nažalost, čini se da se CyberSight ne osjeća isto.
Kada smo, na primjer, pokušali zatvoriti procese RansomStoppera, očekivali smo neku vrstu pogreške u pristupu. Ali ne: temeljni procesi jednostavno se isključuju, bez upozorenja ili upozorenja. Bilo koji drugi postupak može učiniti isto, čak i iz batch datoteke, bez administratorskih prava.
Korisnički procesi uglavnom se tiču sučelja. Pravi posao RansomStoppera događa se u njegovoj službi, a to je još uvijek bilo u pogonu, pa smo i dalje bili zaštićeni, zar ne? Pa, ne nužno, ili barem, ne zadugo. Ako aplikacija ima administratorska prava, tada može zaustaviti uslugu onoliko lako koliko može ubiti procese.
RansomStopper pokušava se nositi s tim periodičnim ponovnim pokretanjem usluge, ali nema vlastiti mehanizam za to. Umjesto toga postavlja Windows planirani zadatak za pokretanje svakih pet minuta, pokrećući skriptu koja će zauzvrat ponovno pokrenuti uslugu ako je zaustavljena.
Zlonamjerni softver ne može izbrisati ili promijeniti ovaj zadatak, ali primijetili smo da bi postupak s administratorskim pravima mogao zamijeniti skriptu za ponovno pokretanje (i ostale datoteke RansomStopper) vlastitim kodom, lansirajući bilo koji kôd koji mu se svidio. Učinili smo to, zaustavili uslugu RansomStopper i čekali.
Pet minuta kasnije započeo je zakazani zadatak i pokrenuo je naš odabrani proces BadApp.exe s sistemskim pravima (tj. Čak i moćniji od administratora.) Da je naš postupak doista bio zlonamjeran, vrlo bi malo toga bilo sposoban učiniti. Pa čak i ako u nekom trenutku ne uspije, zadatak ponovnog pokretanja RansomStoppera ponovno će ga pokrenuti u roku od pet minuta.
U praktičnom smislu, za prosječnog korisnika to neće puno utjecati. Većina ransomwarea neće se truditi tražiti anti-ransomware pakete. Većina onih koji to učine neće tražiti RansomStopper. Većina onih koji su ostali, neće imati administratorska prava da ugroze njegovu zaštitu. A ako na računalu imate zlonamjerni kôd koji radi s administratorskim pravima, u svakom slučaju imate velikih problema.
No, još uvijek postoji barem teoretski rizik da bi se prijetnja mogla poslužiti jednostavnim trikovima koje smo opisali kako bi onemogućila ili podrijela zaštitu RansomStoppera, a to nije problem koji smo u ovom stupnju vidjeli kod većine konkurencije. Na primjer, Emsisoft Anti-Malware štiti svoj kod ispravno, pa čak i ako se izvodi s administratorskim pravima, zlonamjerni softver ne može lako zatvoriti Emsisoft procese ili zaustaviti svoje usluge. To su temeljni koraci koje treba poduzeti bilo koji dobar sigurnosni proizvod, a CyberSight hitno mora dodati istu razinu zaštite RansomStopper-u.
Zaštita
Prilikom pregledavanja antivirusnih paketa provjeravamo njihove rezultate iz neovisnih laboratorija za testiranje kako bismo stekli dojam o njihovoj izvedbi. Laboratoriji rijetko, ako ikad pogledaju anti-ransomware, nažalost, pa smo se vratili na pokretanje nekih vlastitih testova.
Proces je započeo vrlo dobro, RansomStopper je blokirao sve naše poznate uzorke ransomwarea. CyberSight kaže da paket može automatski vratiti oštećene datoteke, ali čini se da to nije bilo potrebno, jer su naše prijetnje očito bile blokirane prije nego što su uopće mogle nešto šifrirati.
Iako je ovo bio sjajan početak, naši su testni uzorci bili dobro poznati i očekivali bismo da će ih blokirati bilo koji pristojan anti-ransomware alat. Zbog toga smo i RansomStopper usmjerili protiv vlastitog simulatora ransomwarea, prilagođenog koda dizajniranog za prolazak kroz stablo testnih mapa i pokušaj kriptiranja tisuća dokumenata. Kako smo to sami razvili, njegovo će se ponašanje vjerojatno razlikovati od bilo čega drugog s čime se RansomStopper susreo, što ga čini težim testom njegovih sposobnosti.
Rezultati su bili pomalo razočaravajući, jer je RansomStopper u potpunosti ignorirao naš kôd, dopuštajući mu da šifrira tisuće dokumenata iz stvarnog svijeta u roku od nekoliko sekundi.
To se ne podudara s nekim drugim anti-ransomware tehnologijama koje smo testirali. Redoviti antivirusni paketi Bitdefendera i Kasperskyja otkrili su i stvarne prijetnje i naš vlastiti simulator ransomwarea, čak i obnavljajući nekoliko datoteka koje je uspio šifrirati.
Ipak, iako dobavljačima kao što su Bitdefender i Kaspersky dodijeljujemo priznanje za položen test simulatora, ne kažnjavamo tvrtke koje to ne uspiju. Naša prijetnja testom nije bila stvarni zlonamjerni softver i mogli biste tvrditi da je CyberSight donio ispravnu odluku ignorirajući ga. Nismo sigurni u to, ali ono što znamo jest da je CyberSight gotovo odmah blokirao naše stvarne uzorke ransomwarea i to su bili testovi koji su zaista važni.
Konačna presuda
RansomStopper je s lakoćom blokirao sav naš testni ransomware, no zabrinuti smo zbog mogućnosti da ga se u nekim situacijama onemogući ili iskoristi da napad bude još gori. To je samo po sebi loše, ali nas ostavlja i da se zapitamo koji bi se drugi problemi mogli skrivati ispod haube.
- Također smo istakli najbolji softver protiv ransomwarea
