Pregled CyberSight RansomStopper

Kazalo:

Anonim

Nadgradnja:Zdi se, da CyberSight RansomStopper ne obstaja več - ali vsaj na spletnem mestu ni sledu ali sledi kakršne koli dejavnosti na spletnem viru podjetja več kot eno leto. Spodaj smo pustili pregled, tako da lahko še vedno preberete našo oceno izdelka, če ste radovedni, toda ker na videz ni več na voljo, boste morda želeli kot alternativo pogledati Avast Free Ransomware Decryption Tools, ki je naš vrh izberite najboljšo brezplačno protiraskupiteljsko programsko opremo.

Izvirni pregled sledi spodaj …

CyberSight RansomStopper je zanimivo orodje, ki uporablja več tehnik, da vas zaščiti pred vsemi vrstami odkupnih programov, od znanih do najnovejših nastajajočih groženj.

To se začne tako, da RansomStopper analizira neznane programe, preden se zaženejo, kar mu omogoči, da blokira nekaj odškodninskih programov, še preden se sploh lahko zažene.

Ko se postopek zažene, se začne vedenjska analiza, pri čemer RansomStopper vedno skrbi za zlonamerno programsko opremo.

  • Za CyberSight RansomwareStopper se lahko prijavite tukaj

To dopolnjujejo tisto, kar CyberSight imenuje "pametne pasti" (drugi izdelki jih imenujejo lovilci medu), navidezne datoteke in mape, ki jih RansomStopper nenehno spremlja za napad.

Podpora strojnemu učenju zagotavlja "avtomatizirano in stalno učenje", piše na spletni strani. Sliši se čudovito, čeprav tako kot pri trditvah o strojnem učenju vsakega podjetja tudi končni uporabnik ne more ugotoviti, kako učinkovito je to v resnici.

Vse te funkcije so na voljo brezplačno v domači in osebni izdaji RansomStopper. To je dobro, čeprav obstaja ena pomembna opustitev: brezplačni izdelek ne nudi nobene zaščite za kritična območja diska, kot je MBR, zaradi česar ste izpostavljeni nekaterim vrstam zlonamerne programske opreme. (Čeprav je to težava, morda ni pomembno, če to že rešuje vaš obstoječi protivirusni program.)

RansomStopperjeva poslovna izdaja dodaja MBR in s tem povezane zaščite, sicer pa se osredotoča na poslovne funkcije: podporo za Windows Server (08, 12, 16), skupinsko politiko, centralno upravo, e-poštna opozorila, poročanje in še več.

Cena RansomStopper Business je od 19,95 dolarja (15,35 funtov) za en osebni računalnik, enoletno licenco ali 69,95 dolarja (53,81 funtov) za zaščito enega strežnika. Če se vam to zdi preveč, vam podaljšanje licenčnega obdobja prinese popust in na primer triletna zaščita enega strežnika stane 146,91 USD (113 GBP).

Nastaviti

Če tapnete povezavo za prenos na spletnem mestu RansomStopper, smo prišli do obrazca, v katerem smo zahtevali naše ime in e-poštni naslov. Ko smo se dogovorili, da nam lahko CyberSight pošlje promocijska e-poštna sporočila (soglasje, ki ga lahko kadar koli umaknemo z odjavo), smo lahko prenesli in namestili RansomStopper.

Pri preverjanju našega sistema smo ugotovili, da je RansomStopper našemu sistemu dodal tri procese v ozadju z uporabo približno 110 MB RAM-a. To verjetno ne bo motilo večine ljudi, vendar je to več kot nekaj konkurence, predvsem zato, ker paket uporablja zajeten grafični uporabniški vmesnik na osnovi Chromiuma.

Če tapnete ikono sistemske vrstice RansomStopper, se prikaže preprost vmesnik s tremi seznami (dovoljeni procesi, blokirani in karantenski procesi, varnostna opozorila) in gumbom »Preveri posodobitve«. To bi lahko pomagalo, če RansomStopper naredi napako, na primer vam omogoči, da spet deluje lažno označena aplikacija, sicer pa lahko pustite program zagnan in v celoti pozabite na konzolo.

Menimo, da je pomembno, da se varnostni izdelki lahko preprečijo, da bi jih vmešavala zlonamerna programska oprema, večina protivirusnih mehanizmov pa ima določeno obliko samoobrambe, ki jim pomaga, da storijo prav to. Žal se zdi, da se CyberSight ne počuti enako.

Ko smo na primer poskusili zapreti procese RansomStopper, smo pričakovali nekakšno napako pri dostopu. Toda ne: jedrni procesi se preprosto izklopijo, brez opozorila in opozorila. Vsak drug postopek lahko stori enako, tudi iz paketne datoteke, pri čemer niso potrebne skrbniške pravice.

Uporabniški procesi se večinoma nanašajo na vmesnik. Resnično delo RansomStopperja se dogaja v njegovi storitvi in ​​to je še vedno delovalo, zato smo bili še vedno zaščiteni, kajne? No, ni nujno ali vsaj ne za dolgo. Če ima aplikacija skrbniške pravice, lahko storitev ustavi tako enostavno, kot lahko uniči procese.

RansomStopper se s tem poskuša spoprijeti tako, da storitev redno zažene, vendar nima svojega mehanizma za to. Namesto tega nastavi načrtovano opravilo sistema Windows, ki se začne vsakih pet minut, in zažene skript, ki bo nato storitev ponovno zagnal, če bo ustavljena.

Zlonamerne programske opreme te naloge ni mogoče izbrisati ali spremeniti, vendar smo opazili, da lahko postopek z skrbniškimi pravicami nadomešča skript za ponovni zagon (in druge datoteke RansomStopper) s svojo kodo in s tem zažene poljubno kodo. To smo storili, ustavili storitev RansomStopper in čakali.

Pet minut kasneje se je začelo načrtovano opravilo in sprožil izbrani postopek BadApp.exe s sistemskimi pravicami (torej celo močnejši od skrbnika.) Če bi bil naš postopek resnično zlonameren, ga ne bi bilo zelo malo sposoben narediti. In tudi če v določenem trenutku ne bi uspelo, bi ga znova zagnala naloga RansomStopperja v petih minutah.

V praksi to za povprečnega uporabnika ne bo veliko vplivalo. Večina odkupnih programov se ne bo trudila iskati paketov proti odkupnini. Večina, ki to stori, ne bo iskala RansomStopper. Večina tistih, ki ostanejo, ne bo imela skrbniških pravic, da bi ogrozila svojo zaščito. In če imate v računalniku zlonamerno kodo, ki deluje z skrbniškimi pravicami, imate vseeno velike težave.

Še vedno pa obstaja vsaj teoretično tveganje, da bi lahko grožnja uporabila preproste trike, ki smo jih opisali, da onemogočimo ali spodkopljemo zaščito RansomStopperja, in to ni težava, ki smo jo v večini konkurence opazili. Emsisoft Anti-Malware na primer pravilno ščiti svojo kodo in tudi če deluje z skrbniškimi pravicami, zlonamerna programska oprema ne more zlahka zapreti procesov Emsisoft ali ustaviti svojih storitev. To so temeljni koraki za izvedbo katerega koli dobrega varnostnega izdelka, CyberSight pa mora nujno dodati enako raven zaščite RansomStopper.

Zaščita

Pri pregledu protivirusnih paketov preverimo njihove rezultate v neodvisnih preskusnih laboratorijih, da dobimo vpogled v njihovo uspešnost. Na žalost laboratoriji redko, če sploh kdaj preučujejo protivirusno programsko opremo, zato smo se lotili manjših lastnih testov.

Postopek se je začel zelo dobro, saj je RansomStopper blokiral vse naše znane vzorce ransomware. CyberSight pravi, da lahko paket samodejno obnovi poškodovane datoteke, vendar se zdi, da to ni bilo potrebno, saj so bile naše grožnje očitno blokirane, preden so sploh lahko kaj šifrirale.

Čeprav je bil to odličen začetek, so bili naši testni vzorci dobro znani in pričakovali bi, da jih bo blokiralo katero koli spodobno orodje proti ransomwareu. Zato smo tudi RansomStopper usmerili proti lastnemu simulatorju odkupne programske opreme, kodi po meri, zasnovani tako, da preide skozi drevo testnih map in poskuša šifrirati tisoče dokumentov. Ker smo to že razvili sami, se njegovo vedenje verjetno razlikuje od vsega, kar je že naletel RansomStopper, zaradi česar je strožji preizkus njegovih sposobnosti.

Rezultati so bili nekoliko razočarani, saj je RansomStopper v celoti prezrl našo kodo in ji omogočil, da v nekaj sekundah šifrira tisoče resničnih dokumentov.

To se ne ujema z nekaterimi drugimi tehnologijami proti izsiljevalski programski opremi, ki smo jih preizkusili. Redna protivirusna paketa Bitdefender in Kaspersky sta zaznala resnične grožnje in naš lastni simulator ransomware, celo obnovila nekaj datotek, ki jih je uspela šifrirati.

Kljub temu, da prodajalcem, kot sta Bitdefender in Kaspersky, priznavamo, da so opravili preizkus simulatorja, ne kaznujemo podjetij, ki ne uspejo. Naša testna grožnja ni bila resnična zlonamerna programska oprema in lahko trdite, da se je CyberSight pravilno odločil, tako da jo je ignoriral. V to nismo prepričani, toda vemo, da je CyberSight skoraj takoj blokiral naše resnične vzorce ransomware in to so bili preskusi, ki so resnično pomembni.

Končna sodba

RansomStopper je z lahkoto blokiral vso testno odkupno programsko opremo, vendar nas skrbi možnost, da bi jo v nekaterih primerih onemogočili ali izkoristili, da bi napad še poslabšali. To je samo po sebi slabo, hkrati pa nas pusti, da se sprašujemo, katera druga vprašanja se lahko skrivajo pod pokrovom.

  • Izpostavili smo tudi najboljšo programsko opremo za preprečevanje izsiljevalske programske opreme