Обновлять:CyberSight RansomStopper, похоже, больше не существует - или, по крайней мере, нет никаких следов веб-сайта или никаких признаков какой-либо активности в ленте Twitter компании в течение более года. Мы оставили наш обзор ниже, чтобы вы все еще могли прочитать нашу оценку продукта, если вам интересно, но, поскольку он, похоже, больше не доступен, вы можете в качестве альтернативы взглянуть на бесплатные инструменты дешифрования вымогателей Avast, которые являются нашими лучшими выбор лучшего бесплатного программного обеспечения для защиты от программ-вымогателей.
Исходный обзор следует ниже…
CyberSight RansomStopper - интересный инструмент, который использует несколько методов для защиты вас от всех типов программ-вымогателей, от известных до новейших возникающих угроз.
Это начинается с того, что RansomStopper анализирует неизвестные приложения перед их запуском, позволяя блокировать некоторые программы-вымогатели еще до их запуска.
Как только процесс запущен, срабатывает поведенческий анализ, при этом RansomStopper всегда отслеживает действия, похожие на вредоносные.
- Вы можете подписаться на CyberSight RansomwareStopper здесь
Это дополняется тем, что CyberSight называет «умными ловушками» (другие продукты называют их ловушками), фиктивными файлами и папками, которые RansomStopper постоянно отслеживает на предмет атак.
Согласно веб-сайту, поддержка машинного обучения обеспечивает «автоматическое и непрерывное обучение». Звучит здорово, хотя, как заявляет каждая компания о «машинном обучении», конечный пользователь не может увидеть, насколько это эффективно.
Все эти функции доступны бесплатно в домашней и личной версии RansomStopper. Это хорошо, хотя есть одно существенное упущение: бесплатный продукт не предлагает никакой защиты для критических областей диска, таких как MBR, что делает вас уязвимыми для некоторых типов вредоносных программ. (Хотя это проблема, это может не иметь большого значения, если ваш существующий антивирус уже справляется с этим.)
Бизнес-версия RansomStopper добавляет MBR и соответствующие средства защиты, но в остальном фокусируется на функциях, связанных с бизнесом: поддержка Windows Server (08, 12, 16), групповая политика, централизованное администрирование, оповещения по электронной почте, отчеты и многое другое.
RansomStopper Business стоит от 19,95 долларов США (15,35 фунтов стерлингов) за один ПК с годовой лицензией или 69,95 долларов США (53,81 фунтов стерлингов) за защиту одного сервера. Если для вас это звучит слишком много, продление срока лицензии дает вам скидку, и, например, защита одного сервера в течение трех лет стоит 146,91 доллара США (113 фунтов стерлингов).
Настраивать
Нажав на ссылку "Загрузить" на веб-сайте RansomStopper, мы попали в форму с запросом нашего имени и адреса электронной почты. Как только мы договорились, что CyberSight может отправлять нам рекламные электронные письма (согласие мы можем отозвать в любое время, отказавшись от подписки), мы смогли загрузить и установить RansomStopper.
Проверяя нашу систему, мы обнаружили, что RansomStopper добавил в нашу систему три фоновых процесса, используя около 110 МБ ОЗУ. Это, вероятно, не будет беспокоить большинство людей, но это больше, чем некоторые из конкурентов, в основном потому, что пакет использует громоздкий графический интерфейс на основе Chromium.
При нажатии на значок RansomStopper на панели задач отображается простой интерфейс с тремя списками (разрешенные процессы, заблокированные и помещенные в карантин процессы, предупреждения безопасности) и кнопкой «Проверить наличие обновлений». Это может помочь, если RansomStopper совершит ошибку, например, позволит вам снова запустить приложение с ложным флагом, но в противном случае вы можете оставить программу запущенной и полностью забыть о консоли.
Мы считаем важным, чтобы продукты безопасности могли защищать себя от вмешательства вредоносных программ, и большинство антивирусных механизмов имеют некоторую форму самозащиты, которая помогает им в этом. К сожалению, CyberSight не чувствует того же.
Например, когда мы пытались закрыть процессы RansomStopper, мы ожидали какой-то ошибки доступа. Но нет: основные процессы просто завершаются без предупреждения или предупреждения. Любой другой процесс может сделать то же самое, даже из пакетного файла, права администратора не требуются.
Пользовательские процессы в основном связаны с интерфейсом. Настоящая работа RansomStopper происходит в его сервисе, и он все еще работал, так что мы все еще были защищены, верно? Ну, не обязательно, по крайней мере, ненадолго. Если у приложения есть права администратора, оно может остановить службу так же легко, как и процессы.
RansomStopper пытается справиться с этим путем периодического перезапуска службы, но у него нет собственного механизма для этого. Вместо этого он устанавливает запланированную задачу Windows, которая запускается каждые пять минут, запускает сценарий, который, в свою очередь, перезапускает службу, если она остановлена.
Вредоносное ПО не может удалить или изменить эту задачу, но мы заметили, что процесс с правами администратора может заменить сценарий перезапуска (и другие файлы RansomStopper) своим собственным кодом, запустив любой понравившийся код. Мы сделали это, остановили службу RansomStopper и стали ждать.
Через пять минут сработало запланированное задание, и он запустил выбранный нами процесс BadApp.exe с правами системы (то есть даже более мощным, чем администратор). Если бы наш процесс действительно был вредоносным, очень мало, что он не был бы способен сделать. И даже если в какой-то момент произойдет сбой, задача перезапуска RansomStopper снова запустит его в течение пяти минут.
На практике для обычного пользователя это не будет иметь большого значения. Большинство программ-вымогателей не будут искать пакеты для защиты от программ-вымогателей. Большинство из них не будут искать RansomStopper. Большинство из тех, что остались, не будут иметь прав администратора, чтобы скомпрометировать его защиту. И если на вашем компьютере есть вредоносный код, работающий с правами администратора, у вас все равно большие проблемы.
Но все еще существует, по крайней мере, теоретический риск того, что угроза может использовать описанные нами простые приемы для отключения или подрыва защиты RansomStopper, и это не та проблема, которую мы видели до такой степени с большинством конкурентов. Emsisoft Anti-Malware, например, правильно защищает свой код, и даже если он работает с правами администратора, вредоносное ПО не может легко закрыть процессы Emsisoft или остановить его службы. Это фундаментальные шаги для любого хорошего продукта безопасности, и CyberSight срочно необходимо добавить такой же уровень защиты к RansomStopper.
Защита
При обзоре антивирусных пакетов мы проверяем их результаты в независимых тестовых лабораториях, чтобы понять, как они работают. К сожалению, лаборатории редко, если вообще когда-либо изучают программы-вымогатели, поэтому мы вынуждены были провести несколько небольших тестов.
Процесс начался очень хорошо: RansomStopper заблокировал все известные нам образцы программ-вымогателей. CyberSight утверждает, что пакет может автоматически восстанавливать поврежденные файлы, но в этом не было необходимости, поскольку наши угрозы были заблокированы до того, как они смогли что-либо зашифровать.
Хотя это было отличное начало, наши тестовые образцы были хорошо известны, и мы ожидали, что любой достойный инструмент для защиты от программ-вымогателей заблокирует их. Вот почему мы также сравнили RansomStopper с нашим собственным симулятором программ-вымогателей, специальным кодом, предназначенным для обхода дерева тестовых папок и попытки зашифровать тысячи документов. Поскольку мы разработали это сами, его поведение, вероятно, будет отличаться от всего остального, с чем сталкивался RansomStopper, что делает его более жестким испытанием его возможностей.
Результаты были немного разочаровывающими, поскольку RansomStopper полностью проигнорировал наш код, позволив ему за секунды зашифровать тысячи реальных документов.
Это не соответствует некоторым другим протестированным нами технологиям защиты от программ-вымогателей. Обычные антивирусные пакеты Bitdefender и Kaspersky обнаруживали как реальные угрозы, так и наш собственный симулятор вымогателей, даже восстанавливая несколько файлов, которые ему удалось зашифровать.
Тем не менее, хотя мы признаем таких поставщиков, как Bitdefender и Kaspersky, за успешное прохождение теста на симуляторе, мы не наказываем компании, которые его не проходят. Наша тестовая угроза не была реальной вредоносной программой, и можно утверждать, что CyberSight приняла правильное решение, проигнорировав ее. Мы не уверены в этом, но мы точно знаем, что CyberSight практически сразу заблокировала наши реальные образцы программ-вымогателей, и это были действительно важные тесты.
Окончательный вердикт
RansomStopper с легкостью заблокировал все наши тестовые программы-вымогатели, но мы обеспокоены возможностью того, что они могут быть отключены в некоторых ситуациях или использованы для еще более серьезной атаки. Это плохо само по себе, но также заставляет задуматься о том, какие еще проблемы могут скрываться под капотом.
- Мы также выделили лучшее программное обеспечение для защиты от программ-вымогателей.
