Aggiornare:CyberSight RansomStopper sembra non esistere più - o almeno non c'è traccia del sito web, o nessun segno di attività sul feed Twitter dell'azienda per oltre un anno. Abbiamo lasciato la nostra recensione di seguito in modo che tu possa ancora leggere la nostra valutazione del prodotto se sei curioso, ma poiché apparentemente non è più disponibile, potresti voler guardare Avast Free Ransomware Decryption Tools come alternativa, che è il nostro migliore scegli il miglior software anti-ransomware gratuito.
La recensione originale segue di seguito …
CyberSight RansomStopper è uno strumento interessante che utilizza più tecniche per proteggerti da tutti i tipi di ransomware, dalle minacce note alle ultime emergenti.
Questo inizia con RansomStopper che analizza le applicazioni sconosciute prima che vengano eseguite, consentendogli di bloccare alcuni ransomware prima ancora che possano essere avviati.
Una volta che un processo è in esecuzione, entra in gioco l'analisi comportamentale, con RansomStopper sempre alla ricerca di azioni simili a malware.
- Puoi iscriverti a CyberSight RansomwareStopper qui
Questo è integrato da ciò che CyberSight chiama "trappole intelligenti" (altri prodotti si riferiscono a loro come trappole di miele), file fittizi e cartelle che RansomStopper monitora costantemente per gli attacchi.
Il supporto per l'apprendimento automatico garantisce un 'apprendimento automatico e continuo', secondo il sito web. Sembra fantastico, anche se, come per le affermazioni di "machine learning" di ogni azienda, non c'è modo per l'utente finale di vedere quanto sia davvero efficace.
Tutte queste funzionalità sono disponibili gratuitamente nell'edizione Home and Personal di RansomStopper. Va bene, anche se c'è un'omissione significativa: il prodotto gratuito non offre alcuna protezione per le regioni del disco critiche come l'MBR, lasciandoti esposto ad alcuni tipi di malware. (Anche se questo è un problema, potrebbe non essere molto importante se il tuo antivirus esistente lo gestisce già.)
L'edizione Business di RansomStopper aggiunge MBR e protezioni correlate, ma per il resto si concentra sulle funzionalità relative al business: supporto di Windows Server (08, 12, 16), criteri di gruppo, amministrazione centrale, avvisi e-mail, rapporti e altro ancora.
RansomStopper Business ha un prezzo di $ 19,95 (£ 15,35) per un PC, licenza di un anno o $ 69,95 (£ 53,81) per proteggere un server. Se questo suona come troppo per te, estendere il termine della licenza ti fa ottenere uno sconto e, ad esempio, proteggere un singolo server per tre anni costa $ 146,91 (£ 113).
Impostare
Toccando il collegamento Download sul sito Web RansomStopper ci ha portato a un modulo che richiede il nostro nome e indirizzo e-mail. Dopo aver accettato che CyberSight potesse inviarci e-mail promozionali (consenso che potevamo revocare in qualsiasi momento annullando l'iscrizione), siamo stati in grado di scaricare e installare RansomStopper.
Controllando il nostro sistema, abbiamo scoperto che RansomStopper aveva aggiunto tre processi in background al nostro sistema, utilizzando circa 110 MB di RAM. Questo probabilmente non infastidirà la maggior parte delle persone, ma è più di una parte della concorrenza, soprattutto perché il pacchetto utilizza una GUI ingombrante basata su Chromium.
Toccando l'icona della barra delle applicazioni di RansomStopper viene visualizzata una semplice interfaccia con tre elenchi (processi consentiti, processi bloccati e in quarantena, avvisi di sicurezza) e un pulsante "Verifica aggiornamenti". Questo potrebbe aiutare se RansomStopper commette un errore, ad esempio permettendoti di far funzionare di nuovo un'app contrassegnata in modo errato, ma altrimenti puoi lasciare il programma in esecuzione e dimenticare completamente la console.
Riteniamo che sia importante che i prodotti per la sicurezza possano evitare interferenze da parte del malware e la maggior parte dei motori antivirus dispone di una qualche forma di capacità di autodifesa per aiutarli a fare esattamente questo. Sfortunatamente, CyberSight non sembra pensare allo stesso modo.
Quando abbiamo provato a chiudere i processi di RansomStopper, ad esempio, ci aspettavamo un qualche tipo di errore di accesso. Ma no: i processi principali vengono semplicemente chiusi, senza alcun avviso o avviso. Qualsiasi altro processo può fare lo stesso, anche da un file batch, non sono richiesti diritti di amministratore.
I processi utente riguardano principalmente l'interfaccia. Il vero lavoro di RansomStopper avviene nel suo servizio, e quello era ancora in esecuzione, quindi eravamo ancora protetti, giusto? Beh, non necessariamente, o almeno, non per molto. Se un'applicazione dispone dei diritti di amministratore, può interrompere il servizio con la stessa facilità con cui può terminare i processi.
RansomStopper cerca di risolvere questo problema riavviando periodicamente il servizio, ma non dispone di un proprio meccanismo per farlo. Invece imposta un'attività pianificata di Windows da avviare ogni cinque minuti, avviando uno script che a sua volta riavvierà il servizio se viene interrotto.
Il malware non può eliminare o modificare questa attività, ma abbiamo notato che un processo con diritti di amministratore potrebbe sostituire lo script di riavvio (e altri file RansomStopper) con il proprio codice, avviando qualsiasi codice che gli piace. Lo abbiamo fatto, abbiamo interrotto il servizio RansomStopper e abbiamo aspettato.
Cinque minuti dopo, l'attività pianificata è iniziata e ha lanciato il nostro processo BadApp.exe scelto con i diritti di sistema (ovvero, anche più potente di un amministratore). Se il nostro processo fosse stato davvero dannoso, non sarebbe stato molto in grado di fare. E anche se a un certo punto non riuscisse, l'attività di riavvio di RansomStopper lo riavvierebbe entro cinque minuti.
In termini pratici, per l'utente medio, questo non farà molta differenza. La maggior parte dei ransomware non si preoccupa di cercare pacchetti anti-ransomware. La maggior parte di loro non cercherà RansomStopper. La maggior parte di quelli rimasti non avrà i diritti di amministratore per comprometterne la protezione. E se hai un codice dannoso sul tuo PC in esecuzione con diritti di amministratore, sei comunque in grossi guai.
Ma c'è ancora almeno un rischio teorico che una minaccia possa utilizzare i semplici trucchi che abbiamo descritto per disabilitare o sovvertire la protezione di RansomStopper, e questo non è un problema che abbiamo riscontrato a questo livello con la maggior parte della concorrenza. Emsisoft Anti-Malware, ad esempio, protegge adeguatamente il suo codice e, anche se è in esecuzione con diritti di amministratore, il malware non può chiudere facilmente i processi Emsisoft o interrompere i suoi servizi. Questi sono passaggi fondamentali per qualsiasi buon prodotto di sicurezza da adottare e CyberSight ha urgente bisogno di aggiungere lo stesso livello di protezione a RansomStopper.
Protezione
Quando esaminiamo i pacchetti antivirus, controlliamo i loro risultati dai laboratori di test indipendenti per avere un'idea delle loro prestazioni. I laboratori raramente, se non mai, esaminano l'anti-ransomware, sfortunatamente, quindi siamo tornati a eseguire alcuni test più piccoli.
Il processo è iniziato molto bene, con RansomStopper che ha bloccato tutti i nostri campioni di ransomware conosciuti. CyberSight afferma che il pacchetto può ripristinare automaticamente i file danneggiati, ma ciò non sembra essere necessario, poiché le nostre minacce sono state apparentemente bloccate prima che potessero crittografare qualsiasi cosa.
Sebbene questo sia stato un ottimo inizio, i nostri campioni di prova erano ben noti e ci aspetteremmo che qualsiasi strumento anti-ransomware decente li blocchi. Ecco perché abbiamo anche confrontato RansomStopper con il nostro simulatore di ransomware, codice personalizzato progettato per passare attraverso un albero di cartelle di prova e tentare di crittografare migliaia di documenti. Poiché lo abbiamo sviluppato noi stessi, è probabile che il suo comportamento sia diverso da qualsiasi altra cosa RansomStopper abbia incontrato, rendendolo un test più difficile delle sue capacità.
I risultati sono stati un po 'deludenti, poiché RansomStopper ha ignorato completamente il nostro codice, consentendogli di crittografare migliaia di documenti del mondo reale in pochi secondi.
Questo non corrisponde ad alcune delle altre tecnologie anti-ransomware che abbiamo testato. I pacchetti antivirus regolari di Bitdefender e Kaspersky hanno rilevato sia minacce del mondo reale che il nostro simulatore di ransomware, ripristinando anche i pochi file che era riuscito a crittografare.
Tuttavia, mentre accreditiamo fornitori come Bitdefender e Kaspersky per aver superato il nostro test del simulatore, non penalizziamo le aziende che lo falliscono. La nostra minaccia di prova non era un vero malware e si potrebbe sostenere che CyberSight abbia preso la decisione giusta ignorandolo. Non ne siamo sicuri, ma quello che sappiamo è che CyberSight ha bloccato quasi immediatamente i nostri campioni di ransomware nel mondo reale e quelli erano i test che contano davvero.
Verdetto finale
RansomStopper ha bloccato con facilità tutti i nostri ransomware di prova, ma siamo preoccupati per la possibilità che possa essere disabilitato in alcune situazioni o sfruttato per peggiorare ulteriormente un attacco. Questo è un male di per sé, ma ci lascia anche a chiederci quali altri problemi potrebbero essere in agguato sotto il cofano.
- Abbiamo anche evidenziato il miglior software anti-ransomware
