Aktualizácia:Zdá sa, že CyberSight RansomStopper už neexistuje - alebo aspoň nie je po webových stránkach stopa alebo náznak akejkoľvek aktivity na twitteri firmy viac ako rok. Naše hodnotenie sme nechali nižšie, aby ste si aj naďalej mohli prečítať naše hodnotenie produktu, ak ste zvedaví, ale keďže už zdanlivo nie je k dispozícii, môžete sa pozrieť na alternatívu Avast Free Ransomware Decryption Tools, ktorá je našou top výber toho najlepšieho bezplatného softvéru proti ransomvéru.
Nasleduje pôvodná recenzia…
CyberSight RansomStopper je zaujímavý nástroj, ktorý pomocou viacerých techník chráni pred všetkými typmi ransomvéru, od známych po najnovšie objavujúce sa hrozby.
Začína sa to tým, že program RansomStopper analyzuje neznáme aplikácie pred ich spustením, čo mu umožňuje blokovať určitý ransomvér ešte predtým, ako sa vôbec spustí.
Akonáhle je proces spustený, naštartuje sa behaviorálna analýza a RansomStopper vždy sleduje činnosti podobné malvéru.
- Tu sa môžete zaregistrovať do programu CyberSight RansomwareStopper
To je doplnené tým, čo CyberSight nazýva „inteligentné pasce“ (iné produkty ich označujú ako „chytáky do pascí“), atrapy súborov a priečinkov, ktoré RansomStopper neustále sleduje.
Podpora strojového učenia zaisťuje podľa webovej stránky „automatizované a neustále sa učenie“. Znie to skvele, aj keď ako v prípade tvrdenia „strojového učenia“ každej spoločnosti neexistuje žiadny spôsob, ako by koncový používateľ mohol vidieť, aké efektívne to v skutočnosti je.
Všetky tieto funkcie sú zadarmo k dispozícii v edícii RansomStopper Home a Personal. To je dobré, aj keď je tu jedno významné vynechanie: bezplatný produkt neponúka žiadnu ochranu pre kritické oblasti diskov, ako je MBR, takže ste vystavení niektorým typom škodlivého softvéru. (Aj keď to je problém, nemusí to veľmi znamenať, ak to váš súčasný antivírus už zvláda.)
Edícia RansomStopper Business pridáva MBR a súvisiace ochrany, ale inak sa zameriava na funkcie súvisiace s podnikaním: podpora Windows Server (08, 12, 16), skupinová politika, centrálna správa, e-mailové upozornenia, hlásenia a ďalšie.
Cena RansomStopper Business je od 19,95 USD (15,35 GBP) za jeden počítač, ročná licencia alebo 69,95 USD (53,81 GBP) na ochranu jedného servera. Ak to pre vás znie príliš veľa, predĺženie licenčnej doby vám poskytne zľavu a napríklad ochrana jedného servera na tri roky stojí 146,91 dolárov (113 libier).
Nastaviť
Klepnutím na odkaz Stiahnuť na webovej stránke RansomStopper sme sa dostali k formuláru, ktorý požaduje naše meno a e-mailovú adresu. Keď sme sa dohodli, že nám CyberSight môže posielať propagačné e-maily (súhlas, ktorý môžeme kedykoľvek zrušiť zrušením odberu), mohli sme si stiahnuť a nainštalovať RansomStopper.
Pri kontrole nášho systému sme zistili, že program RansomStopper do nášho systému pridal tri procesy na pozadí s využitím približne 110 MB RAM. To pravdepodobne nebude trápiť väčšinu ľudí, ale je to viac ako konkurencia, hlavne preto, že balíček využíva objemné grafické rozhranie založené na chróme.
Klepnutím na ikonu na paneli úloh v paneli RansomStopper sa zobrazí jednoduché rozhranie s tromi zoznamami (povolené procesy, blokované a karanténne procesy, bezpečnostné upozornenia) a tlačidlom „Skontrolovať dostupnosť aktualizácií“. To by mohlo pomôcť, ak RansomStopper urobí chybu, napríklad vám umožní znova spustiť fungovanie falošne označenej aplikácie, ale inak môžete program nechať bežať a na konzolu úplne zabudnúť.
Myslíme si, že je dôležité, aby si bezpečnostné produkty mohli zabrániť v interferencii s malvérom, a väčšina antivírusových nástrojov má určitú formu sebaobrany, ktorá im v tom pomáha. Zdá sa, že CyberSight sa bohužiaľ necíti rovnako.
Keď sme sa napríklad pokúsili ukončiť procesy RansomStopper, očakávali sme nejaký druh chyby prístupu. Ale nie: základné procesy sa jednoducho vypnú bez varovania alebo varovania. To isté môže urobiť ktorýkoľvek iný proces, dokonca aj z dávkového súboru, a to bez akýchkoľvek administrátorských práv.
Procesy používateľov sú väčšinou o rozhraní. Skutočná práca služby RansomStopper sa deje v jej službách a tá stále bežala, takže sme boli stále chránení, však? No nie nevyhnutne, alebo aspoň nie dlho. Ak má aplikácia administrátorské práva, môže službu zastaviť tak ľahko, ako môže zabiť procesy.
RansomStopper sa to snaží vyriešiť pravidelným reštartovaním služby, ale nemá na to vlastný mechanizmus. Namiesto toho nastaví naplánovanú úlohu systému Windows, ktorá sa bude kopať každých päť minút, a spustí skript, ktorý po ukončení služby znova spustí službu.
Malvér nemôže túto úlohu odstrániť ani zmeniť, ale všimli sme si, že proces s administrátorskými právami môže nahradiť reštartovací skript (a ďalšie súbory RansomStopper) vlastným kódom a spustiť akýkoľvek kód, ktorý sa mu páči. Urobili sme to, zastavili sme službu RansomStopper a čakali.
O päť minút neskôr nastala naplánovaná úloha a spustila nami vybraný proces BadApp.exe so systémovými právami (teda ešte výkonnejší ako administrátor). Keby bol náš proces skutočne škodlivý, bolo by to veľmi málo Schopný urobiť. A aj keby v určitom okamihu zlyhal, úloha reštartovania RansomStoppera by ju znovu spustila do piatich minút.
Z praktického hľadiska to pre priemerného používateľa nebude mať veľký rozdiel. Väčšina ransomvérov sa nebude obťažovať hľadaním balíkov proti ransomvéru. Väčšina z nich to nebude hľadať RansomStopper. Väčšina z tých, čo zostanú, nebude mať práva správcu na narušenie jej ochrany. A ak máte vo svojom počítači spustený škodlivý kód s právami správcu, rovnako máte veľké problémy.
Stále však existuje aspoň teoretické riziko, že by hrozba mohla pomocou jednoduchých trikov, ktoré sme popísali, deaktivovať alebo narušiť ochranu RansomStopper, a to nie je problém, ktorý sme v tejto miere videli u väčšiny konkurencie. Napríklad Emsisoft Anti-Malware chráni svoj kód správne, a aj keď je spustený s administrátorskými právami, malware nemôže ľahko ukončiť procesy Emsisoft alebo zastaviť jeho služby. Toto sú základné kroky, ktoré musí podniknúť každý dobrý bezpečnostný produkt, a CyberSight musí urgentne pridať rovnakú úroveň ochrany pre RansomStopper.
Ochrana
Pri kontrole antivírusových balíkov kontrolujeme ich výsledky z nezávislých laboratórií, aby sme zistili, ako fungujú. Laboratóriá sa, bohužiaľ, zriedka, ak vôbec niekedy pozerajú na anti-ransomvér, takže sme opäť spustili niektoré vlastné menšie testy.
Proces sa začal veľmi dobre, program RansomStopper blokoval všetky naše známe vzorky ransomvéru. CyberSight tvrdí, že balíček dokáže automaticky obnoviť poškodené súbory, ale nezdalo sa to potrebné, pretože naše hrozby boli zjavne blokované skôr, ako mohli vôbec niečo zašifrovať.
Aj keď to bol skvelý začiatok, naše testovacie vzorky boli dobre známe a očakávali by sme, že ich zablokuje akýkoľvek slušný nástroj proti ransomvéru. Preto sme tiež postavili program RansomStopper proti nášmu vlastnému simulátoru ransomvéru, vlastnému kódu určenému na prechádzanie stromom testovacích priečinkov a pokusom o šifrovanie tisícov dokumentov. Pretože sme si to sami vyvinuli, jeho správanie sa bude pravdepodobne líšiť od všetkého iného, s čím sa RansomStopper stretol, čo z neho robí ťažšiu skúšku jeho schopností.
Výsledky boli trochu sklamaním, pretože RansomStopper náš kód úplne ignoroval a umožnil mu zašifrovať tisíce dokumentov z reálneho sveta v priebehu niekoľkých sekúnd.
To sa nezhoduje s niektorými ďalšími technológiami proti ransomvéru, ktoré sme testovali. Pravidelné antivírusové balíčky spoločnosti Bitdefender a Kaspersky detekovali skutočné hrozby aj náš vlastný simulátor ransomvéru, dokonca obnovili aj niekoľko súborov, ktoré sa mu podarilo zašifrovať.
Napriek tomu, že dodávateľom ako Bitdefender a Kaspersky poskytujeme úver za vykonanie testu simulátora, nebudeme penalizovať spoločnosti, ktoré zlyhajú. Našou testovacou hrozbou nebol skutočný malware a dalo by sa namietať, že CyberSight urobil správne rozhodnutie ignorovaním. Nie sme si tým istí, ale vieme, že CyberSight takmer okamžite zablokoval naše vzorky ransomvéru v reálnom svete a na týchto testoch skutočne záleží.
Konečný verdikt
Aplikácia RansomStopper zablokovala všetok náš testovací ransomvér s ľahkosťou, znepokojuje nás však možnosť, že by mohol byť v niektorých situáciách deaktivovaný alebo zneužitý na ešte horší útok. To je samo osebe zlé, ale tiež nás necháva premýšľať, aké ďalšie problémy by mohli číhať pod kapotou.
- Zdôraznili sme tiež najlepší softvér proti ransomvéru