CyberSight RansomStopper je zajímavý nástroj, který používá více technik k ochraně před všemi typy ransomwaru, od známých až po nejnovější vznikající hrozby.
To začíná pomocí nástroje RansomStopper, který analyzuje neznámé aplikace před jejich spuštěním, což mu umožňuje zablokovat některé ransomware předtím, než se dokonce spustí.
Jakmile je proces spuštěn, chová se analýza chování, přičemž nástroj RansomStopper vždy vyhledává akce podobné malwaru.
- Zde můžete zaregistrovat CyberSight RansomwareStopper
To je doplněno o to, co CyberSight nazývá „inteligentní pasti“ (ostatní produkty se na ně odkazují jako honeytraps), fiktivní soubory a složky, které RansomStopper neustále monitoruje pro útok.
Podpora strojového učení zajišťuje „automatizované a nepřetržité učení“ podle webových stránek. Zní to skvěle, ačkoli, jak tvrdí tvrzení všech strojů, neexistuje žádný způsob, jak konečný uživatel zjistit, jak je to skutečně efektivní.
Všechny tyto funkce jsou k dispozici zdarma v domácím a osobním vydání společnosti RansomStopper. To je dobré, ačkoli je zde jedno zanedbatelné opomenutí: volný produkt nenabízí žádnou ochranu pro kritické oblasti disku, jako je například MBR, takže vás vystaví některým typům malwaru. (I když je to problém, nemusí to být hodně důležité, pokud již váš stávající antivirus zpracovává toto.)
Business Edition společnosti RansomStopper přidává MBR a související ochranu, ale jinak se zaměřuje na funkce související s obchodem: Podpora systému Windows Server (08, 12, 16), skupinová politika, centrální správa, emaily, zprávy a další.
RansomStopper Business je určen za cenu jednoho PC, jednoho roku licence nebo 69,95 dolarů (53,81 dolarů) za ochranu jednoho serveru od 19,95 dolarů (15,35 liber). Pokud se vám to zdá příliš mnoho, prodloužení licenčního období vám poskytne slevu, a například ochrana jednoho serveru po dobu tří let stojí 146,91 dolarů (113 liber).

Založit
Klepnutím na odkaz Stáhnout na webu společnosti RansomStopper jsme nás dostali do formuláře vyžadujícího naše jméno a e-mailovou adresu. Jakmile jsme se dohodli, že CyberSight nám může poslat propagační e-maily (souhlas, který bychom kdykoli mohli zrušit odhlášením), jsme mohli stáhnout a nainstalovat RansomStopper.
Při kontrole našeho systému jsme zjistili, že RansomStopper přidal do našeho systému tři procesy na pozadí s použitím přibližně 110MB RAM. To pravděpodobně nebude obtěžovat většinu lidí, ale je to víc než jen část konkurence, hlavně proto, že balíček používá objemné grafické uživatelské rozhraní založené na Chromu.
Klepnutím na ikonu na panelu nástrojů RansomStopper se zobrazí jednoduché rozhraní se třemi seznamy (Povolené procesy, Blokované a Quarantined procesy, Výstrahy zabezpečení) a tlačítko „Kontrola aktualizací“. To může pomoci, pokud RansomStopper udělá chybu, například vám dovolí, abyste dostali falešně označenou aplikaci znovu, ale jinak můžete nechat program spuštěný a úplně zapomenout na konzolu.
Myslíme si, že je důležité, aby se bezpečnostní produkty mohly zabránit interferenci malware a většina antivirových strojů má nějakou formu sebeobrany, která jim pomáhá dělat přesně to. CyberSight se bohužel zdaleka necítí stejným způsobem.
Když jsme zkusili uzavřít procesy RansomStopperu, očekávali jsme například nějakou chybu přístupu. Ale ne: procesy jádra se jednoduše vypínají bez varování a varování. Jakýkoli jiný proces může dělat totéž, a to i ze dávkového souboru, bez administračních práv.
Uživatelské procesy se většinou týkají rozhraní. RansomStopperova skutečná práce se děje ve své službě a to stále běží, takže jsme byli stále chráněni, ne? No, ne nutně, nebo alespoň ne dlouho. Pokud má aplikace administrátorská práva, může tuto službu zastavit tak snadno, jak může procesy zabít.
Společnost RansomStopper se touto cestou snaží řešit pravidelným restartováním služby, ale nemá k dispozici vlastní mechanismus. Namísto toho nastaví plánovanou úlohu systému Windows, která bude každých pět minut vykopávat a spustí skript, který po opětovném spuštění služby opět zapne.
Malware nemůže tuto úlohu smazat ani měnit, ale všimli jsme si, že proces s právy administrátora může nahradit skript restartu (a další soubory RansomStopper) vlastním kódem a spustit libovolný kód, který se mu líbil. Udělali jsme to, zastavili službu RansomStopper a čekali.
O pět minut později nastoupil plánovaný úkol a spustil náš vybraný proces BadApp.exe se systémovými právy (tedy ještě silnější než administrátor). Pokud by náš proces byl opravdu škodlivý, je velmi málo, že by to nebylo schopný udělat. A i kdyby se v určitém okamžiku nezdařilo, úloha restartu RansomStopperu by znovu spustila do pěti minut.
V praxi to pro průměrného uživatele nebude mít velký rozdíl. Většina ransomware nebude obtěžovat hledání balíčků anti-ransomware. Většina, co dělají, nebude hledat RansomStopper. Většina těch, kteří zůstávají, nebude mít práva administrátora k ohrožení jeho ochrany. A pokud máte v počítači spuštěný škodlivý kód s právy administrátora, máte v každém případě velké potíže.
Existuje však přinejmenším teoretické riziko, že hrozba by mohla využít jednoduché triky, které jsme popsali k tomu, abychom zakázali nebo podkopali ochranu společnosti RansomStopper, a to není problém, který jsme v této míře viděli s větším počtem soutěží. Například Emsisoft Anti-Malware chrání svůj kód správně a i když běží s právy administrátora, malware nemůže snadno ukončit procesy Emsisoft ani zastavit jeho služby. Jedná se o zásadní kroky pro zajištění dobrého bezpečnostního produktu a společnost CyberSight naléhavě potřebuje přidat stejnou úroveň ochrany produktu RansomStopper.

Ochrana
Při kontrole antivirových balíčků si ověříme jejich výsledky z nezávislých zkušebních laboratoří, abychom získali pocit z toho, jak fungují. Laboratoře se zřídka, pokud se někdy dívají na anti-ransomware, bohužel, takže jsme se vrátili na to, že jsme měli nějaké menší testy.
Tento proces začal velmi dobře, protože RansomStopper blokuje všechny známé vzory ransomwaru. CyberSight říká, že balík může automaticky obnovit poškozené soubory, ale zdálo se, že to není nutné, jelikož naše hrozby byly zřejmě zablokovány předtím, než mohou vůbec něco šifrovat.
Zatímco to byl skvělý začátek, naše zkušební vzorky byly dobře známé a očekávali bychom, že jim zablokuje nějaký slušný anti-ransomware nástroj. Proto jsme také postavili RansomStopper proti našemu vlastnímu simulátoru ransomwaru, který je určen k pavoučení stromu testovacích složek a pokouší se šifrovat tisíce dokumentů. Jak jsme to vyvíjeli sami sebe, jeho chování se pravděpodobně bude lišit od čehokoliv jiného, s čím se RansomStopper setkal, což z něj činí tvrdší test jeho schopností.
Výsledky byly trochu zklamáním, protože RansomStopper úplně ignoroval náš kód a dovolil mu během několika sekund šifrovat tisíce dokumentů z reálného světa.
To neodpovídá některým z ostatních anti-ransomware technologií, které jsme testovali. Pravidelné antivirové balíky Bitdefender a Kaspersky detekovaly jak skutečné hrozby, tak náš vlastní simulátor ransomwaru, dokonce i obnovení několika souborů, které se mu podařilo šifrovat.
I přesto, že jsme kredity dodavatelů jako Bitdefender a Kaspersky pro absolvování našeho simulátorového testu, nemůžeme penalizovat společnosti, které to neuspějí. Naše zkušební hrozba nebyla skutečný malware a můžete tvrdit, že společnost CyberSight učinila správné rozhodnutí tím, že ji ignorovala. Nejsme si jisti, ale to, co víme, je, že CyberSight téměř okamžitě zablokoval naše reálné vzorky ransomwaru a to byly testy, které opravdu záleží.
Konečný verdikt
RansomStopper zablokoval všechny naše testovací ransomware s lehkostí, ale my jsme znepokojeni možností, že by v některých situacích mohla být zakázána nebo zneužita k útoku ještě horšímu. To je samo o sobě špatné, ale také nás nechává uvažovat, jaké další problémy by mohly číhat pod kapucí.
- Zdůraznili jsme také ten nejlepší software proti výmazům





























