Оновлення:Здається, CyberSight RansomStopper більше не існує - або, принаймні, на веб-сайті немає жодних слідів, або немає ознак будь-якої активності у стрічці фірми у Twitter протягом року. Ми залишили наш огляд нижче, щоб ви все ще могли прочитати нашу оцінку продукту, якщо вам цікаво, але оскільки він, здається, вже недоступний, ви можете подивитися на Avast Free Ransomware Decryption Tools як альтернативу, яка є нашим головним вибір найкращого безкоштовного програмного забезпечення для боротьби з вимогами.
Оригінальний огляд випливає нижче …
CyberSight RansomStopper - цікавий інструмент, який використовує безліч методів, щоб захистити вас від усіх типів програм-вимагачів, від відомих до найсвіжіших загроз.
Це починається з того, що RansomStopper аналізує невідомі програми перед їх запуском, дозволяючи йому заблокувати деякі програми-вимагателі, перш ніж воно може навіть запуститися.
Після запуску процесу починається поведінковий аналіз, при цьому RansomStopper завжди звертає увагу на дії, подібні до шкідливих програм.
- Ви можете зареєструвати CyberSight RansomwareStopper тут
Це доповнюється тим, що CyberSight називає `` розумними пастками '' (інші продукти називають їх медоловками), фіктивними файлами та папками, які RansomStopper постійно контролює на предмет атаки.
Згідно з веб-сайтом, підтримка машинного навчання забезпечує "автоматизоване та постійне навчання". Звучить чудово, хоча, як і у твердженнях про машинне навчання кожної компанії, кінцевий користувач не може побачити, наскільки це насправді ефективно.
Усі ці функції доступні безкоштовно в домашньому та особистому виданні RansomStopper. Це добре, хоча є одна суттєва упустка: безкоштовний продукт не пропонує жодного захисту для таких критичних областей диска, як MBR, внаслідок чого ви піддаєтесь дії деяких типів шкідливих програм. (Хоча це проблема, може не мати великого значення, якщо ваш існуючий антивірус вже цим займається.)
Видання RansomStopper Business додає MBR та відповідні засоби захисту, але в іншому випадку зосереджується на функціях, пов’язаних із бізнесом: підтримка Windows Server (08, 12, 16), групова політика, центральне адміністрування, сповіщення електронною поштою, звітування тощо.
RansomStopper Business коштує від 19,95 доларів США (15,35 фунтів стерлінгів) за один ПК, річну ліцензію або 69,95 доларів США (53,81 фунтів стерлінгів) для захисту одного сервера. Якщо для вас це здається занадто великим, продовження терміну дії ліцензії дає вам знижку, і, наприклад, захист одного сервера протягом трьох років коштує 146,91 доларів (113 фунтів стерлінгів).
Налаштування
Натиснувши посилання "Завантажити" на веб-сайті RansomStopper, ми перейшли у форму із запитом на наше ім’я та електронну адресу. Після того, як ми домовились, що CyberSight може надсилати нам рекламні електронні листи (згода, яку ми можемо відкликати в будь-який час, скасувавши підписку), ми змогли завантажити та встановити RansomStopper.
Перевіривши нашу систему, ми виявили, що RansomStopper додав три фонові процеси до нашої системи, використовуючи близько 110 Мб оперативної пам'яті. Це, ймовірно, не заважатиме більшості людей, але це більше, ніж частина конкуренції, здебільшого тому, що пакет використовує громіздкий графічний інтерфейс на основі Chromium.
Натискання піктограми системної панелі RansomStopper відображає простий інтерфейс із трьома списками (Дозволені процеси, Заблоковані та Карантинні процеси, Сповіщення безпеки) та кнопкою "Перевірити наявність оновлень". Це може допомогти, якщо RansomStopper зробить помилку, наприклад, дозволить вам знову запустити помилково позначений додаток, але в іншому випадку ви можете залишити програму запущеною і забути про консоль повністю.
Ми вважаємо важливим, щоб продукти безпеки могли запобігти втручанню зловмисного програмного забезпечення, і більшість антивірусних механізмів мають певну форму самозахисту, яка допомагає їм робити саме це. На жаль, CyberSight, схоже, не так почувається.
Наприклад, коли ми спробували закрити процеси RansomStopper, ми очікували якоїсь помилки доступу. Але ні: основні процеси просто вимикаються, без попередження та попередження. Будь-який інший процес може зробити те саме, навіть із пакетного файлу, права адміністратора не потрібні.
Користувацькі процеси здебільшого стосуються інтерфейсу. Реальна робота RansomStopper відбувається в його службі, і це все ще працювало, тож ми все ще були захищені, так? Ну, не обов'язково, або принаймні, ненадовго. Якщо програма має права адміністратора, вона може зупинити службу настільки легко, наскільки може знищити процеси.
RansomStopper намагається впоратися з цим, періодично перезапускаючи службу, але у неї немає свого механізму для цього. Натомість він встановлює заплановане завдання Windows, яке потрібно запускати кожні п’ять хвилин, запускаючи сценарій, який, у свою чергу, перезапустить службу, якщо її зупинено.
Шкідливе програмне забезпечення не може видалити або змінити це завдання, але ми помітили, що процес із правами адміністратора може замінити сценарій перезапуску (та інші файли RansomStopper) власним кодом, запустивши будь-який вподобаний код. Ми зробили це, зупинили службу RansomStopper і зачекали.
Через п’ять хвилин розпочалось заплановане завдання, яке запустило обраний нами процес BadApp.exe із системними правами (тобто навіть потужніший, ніж адміністратор.) Якби наш процес дійсно був зловмисним, дуже мало би цього не було здатний зробити. І навіть якщо воно в якийсь момент не вдалося, завдання перезапуску RansomStopper знову запустить його протягом п’яти хвилин.
На практиці для пересічного користувача це не сильно вплине. Більшість програм-вимогливців не заважатимуть шукати пакунки проти вимогачів. Більшість, хто це робить, не будуть шукати RansomStopper. Більшість із тих, хто залишився, не матиме прав адміністратора, щоб скомпрометувати його захист. І якщо на вашому ПК є зловмисний код, що працює з правами адміністратора, у вас все одно є великі проблеми.
Але все ще існує принаймні теоретичний ризик того, що загроза може скористатися простими трюками, які ми описали, щоб вимкнути або підірвати захист RansomStopper, і це не проблема, яку ми бачили на цьому рівні з більшістю конкурентів. Наприклад, Emsisoft Anti-Malware захищає свій код належним чином, і навіть якщо він працює з правами адміністратора, шкідливе програмне забезпечення не може легко закрити процеси Emsisoft або зупинити свої служби. Це основні кроки для здійснення будь-якого хорошого продукту безпеки, і CyberSight терміново повинен додати такий самий рівень захисту до RansomStopper.
Захист
Переглядаючи антивірусні пакети, ми перевіряємо їх результати в незалежних тестових лабораторіях, щоб зрозуміти, як вони працюють. На жаль, лабораторії рідко, якщо взагалі розглядають антивимагальні програми, на жаль, тому ми знову взялися за те, щоб провести власні менші тести.
Процес розпочався дуже добре, оскільки RansomStopper заблокував усі наші відомі зразки програм-вимагачів. CyberSight заявляє, що пакет може автоматично відновити пошкоджені файли, але це, мабуть, не було необхідним, оскільки наші загрози, очевидно, були заблоковані, перш ніж вони могли взагалі щось зашифрувати.
Хоча це було чудовим початком, наші тестові зразки були добре відомі, і ми очікували б, що будь-який гідний інструмент антивимагального програмного забезпечення їх заблокує. Ось чому ми також поставили RansomStopper проти нашого власного симулятора програми-вимогателя, спеціального коду, призначеного для проходження павукового дерева тесту та спроби зашифрувати тисячі документів. Оскільки ми це самі розробляли, його поведінка, ймовірно, буде відрізнятися від будь-чого іншого, з чим стикався RansomStopper, що робить його більш жорстким випробуванням своїх здібностей.
Результати були трохи розчаровуючими, оскільки RansomStopper повністю ігнорував наш код, дозволяючи йому шифрувати тисячі реальних документів протягом декількох секунд.
Це не відповідає деяким іншим протестованим нами технологіям боротьби з вимогами. Регулярні антивірусні пакети Bitdefender та Kaspersky виявляли як реальні загрози, так і наш власний симулятор випробувальних програм, навіть відновлюючи кілька файлів, які йому вдалося зашифрувати.
І все ж, хоча ми кредитуємо таких продавців, як Bitdefender і Kaspersky за те, що вони пройшли наш симуляторний тест, ми не караємо компанії, які його не виконали. Наша тестова загроза не була справжнім шкідливим програмним забезпеченням, і ви можете стверджувати, що CyberSight прийняв правильне рішення, ігноруючи його. Ми не впевнені в цьому, але те, що ми знаємо, це те, що CyberSight заблокував наші реальні зразки програм-вимагачів майже одразу, і це тести, які насправді мають значення.
Остаточний вердикт
RansomStopper з легкістю заблокував усі наші тестові програми-вимагателі, але нас турбує можливість того, що в деяких ситуаціях його можна відключити або використати, щоб зробити атаку ще гіршою. Це погано саме по собі, але це також залишає нам питання, які ще проблеми можуть ховатися під капотом.
- Ми також виділили найкраще програмне забезпечення для боротьби з вимогами
