Opdatering:CyberSight RansomStopper ser ud til ikke længere at eksistere - eller i det mindste er der ingen spor af hjemmesiden eller noget tegn på nogen aktivitet på firmaets Twitter-feed i over et år. Vi har efterladt vores anmeldelse nedenfor, så du stadig kan læse vores evaluering af produktet, hvis du er nysgerrig, men da det tilsyneladende ikke længere er tilgængeligt, vil du måske se på Avast Free Ransomware Decryption Tools som et alternativ, hvilket er vores top valg af den bedste gratis anti-ransomware-software.
Oprindelig anmeldelse følger nedenfor …
CyberSight RansomStopper er et interessant værktøj, der bruger flere teknikker til at beskytte dig mod alle typer ransomware, fra kendte til de nyeste nye trusler.
Dette starter med, at RansomStopper analyserer ukendte applikationer, før de udføres, så det kan blokere noget ransomware, før det endda kan starte.
Når en proces kører, begynder adfærdsanalyse, hvor RansomStopper altid ser ud til malware-lignende handlinger.
- Du kan tilmelde dig CyberSight RansomwareStopper her
Dette suppleres med, hvad CyberSight kalder 'smarte fælder' (andre produkter henviser til dem som honeytraps), dummy-filer og mapper, som RansomStopper konstant overvåger for angreb.
Støtte til maskinindlæring sikrer 'automatiseret og kontinuerlig læring', ifølge webstedet. Det lyder godt, selvom der som for enhver virksomheds 'maskinindlæring' hævdes, er der ingen måde for slutbrugeren at se, hvor effektiv dette virkelig er.
Alle disse funktioner er tilgængelige gratis i RansomStoppers hjem- og personlige udgave. Det er godt, selvom der er en væsentlig udeladelse: det gratis produkt tilbyder ikke nogen beskyttelse for kritiske diskregioner som f.eks. MBR, hvilket efterlader dig udsat for nogle malware-typer. (Selvom det er et problem, betyder det måske ikke meget, hvis dit eksisterende antivirus allerede håndterer dette.)
RansomStoppers Business-udgave tilføjer MBR og relateret beskyttelse, men fokuserer ellers på forretningsrelaterede funktioner: Windows Server-support (08, 12, 16), gruppepolitik, central administration, e-mail-alarmer, rapportering og mere.
RansomStopper Business er prissat fra $ 19,95 (£ 15,35) for en pc, et års licens eller $ 69,95 (£ 53,81) for at beskytte en server. Hvis det lyder for meget for dig, får du en rabat ved at forlænge licensperioden, og det koster for eksempel $ 146,91 (£ 113) at beskytte en enkelt server i tre år.
Opsætning
At trykke på Download-linket på RansomStopper-webstedet førte os til en formular, der anmodede om vores navn og e-mail-adresse. Når vi var blevet enige om, at CyberSight kunne sende os salgsfremmende e-mails (samtykke, som vi når som helst kunne trække ved at afmelde), kunne vi downloade og installere RansomStopper.
Ved at kontrollere vores system fandt vi, at RansomStopper havde tilføjet tre baggrundsprocesser til vores system ved hjælp af omkring 110 MB RAM. Det generer sandsynligvis ikke de fleste mennesker, men det er mere end noget af konkurrencen, hovedsagelig fordi pakken bruger en voluminøs Chrom-baseret GUI.
At trykke på RansomStoppers ikon på systembakke viser en simpel grænseflade med tre lister (tilladte processer, blokerede og karantæneprocesser, sikkerhedsadvarsler) og en 'Check for Updates' -knap. Dette kan hjælpe, hvis RansomStopper laver en fejl, for eksempel for at give dig mulighed for at få en falsk markeret app til at fungere igen, men ellers kan du lade programmet køre og glemme konsollen helt.
Vi synes, det er vigtigt, at sikkerhedsprodukter kan forhindre sig i interferens fra malware, og de fleste antivirusmotorer har en eller anden form for selvforsvarsfunktion til at hjælpe dem med at gøre netop det. Desværre ser CyberSight ikke ud til at føle det samme.
Da vi for eksempel prøvede at lukke RansomStoppers processer, forventede vi en slags adgangsfejl. Men nej: kerneprocesserne lukkes simpelthen uden advarsel eller alarm. Enhver anden proces kan gøre det samme, selv fra en batchfil, der kræves ingen administratorrettigheder.
Brugerprocesserne handler mest om grænsefladen. RansomStoppers virkelige arbejde sker i dens tjeneste, og det kørte stadig, så vi var stadig beskyttet, ikke? Nå, ikke nødvendigvis eller i det mindste ikke længe. Hvis et program har administratorrettigheder, kan det stoppe tjenesten så let, som det kan dræbe processerne.
RansomStopper forsøger at håndtere dette ved at genstarte tjenesten med jævne mellemrum, men den har ikke sin egen mekanisme til at gøre dette. I stedet opretter den en planlagt Windows-opgave til at sparke hvert femte minut og lancerer et script, som igen vil genstarte tjenesten, hvis den stoppes.
Malware kan ikke slette eller ændre denne opgave, men vi bemærkede, at en proces med administratorrettigheder kunne erstatte genstartscriptet (og andre RansomStopper-filer) med sin egen kode og starte enhver kode, den kunne lide. Vi gjorde dette, stoppede RansomStopper-tjenesten og ventede.
Fem minutter senere startede den planlagte opgave, og den startede vores valgte BadApp.exe-proces med systemrettigheder (det vil sige endnu mere kraftfuld end en administrator.) Hvis vores proces virkelig havde været ondsindet, er der meget lidt, ville det ikke være i stand til at gøre. Og selvom det mislykkedes på et tidspunkt, ville RansomStoppers genstartopgave starte det igen inden for fem minutter.
Rent praktisk betyder det ikke for den gennemsnitlige bruger meget forskel. De fleste ransomware gider ikke kigge efter anti-ransomware-pakker. De fleste, der gør det, vil ikke se efter RansomStopper. De fleste af dem, der er tilbage, har ikke administratorrettighederne til at kompromittere dens beskyttelse. Og hvis du har ondsindet kode på din pc, der kører med administratorrettigheder, er du alligevel i store problemer.
Men der er stadig i det mindste en teoretisk risiko for, at en trussel kan bruge de enkle tricks, vi har beskrevet til at deaktivere eller undergrave RansomStoppers beskyttelse, og det er ikke et problem, vi har set i denne grad med det meste af konkurrencen. Emsisoft Anti-Malware beskytter for eksempel koden korrekt, og selvom den kører med administratorrettigheder, kan malware ikke let lukke Emsisoft-processer eller stoppe sine tjenester. Dette er grundlæggende skridt, som ethvert godt sikkerhedsprodukt kan tage, og CyberSight er presserende nødt til at tilføje det samme niveau af beskyttelse til RansomStopper.
Beskyttelse
Når vi gennemgår antiviruspakker, tjekker vi deres resultater fra de uafhængige testlaboratorier for at få en fornemmelse for, hvordan de klarer sig. Laboratorierne ser sjældent, hvis nogensinde, på anti-ransomware, desværre, så vi faldt tilbage på at køre nogle mindre egne tests.
Processen begyndte meget godt, hvor RansomStopper blokerede alle vores kendte ransomware-prøver. CyberSight siger, at pakken automatisk kan gendanne beskadigede filer, men dette syntes ikke at være nødvendigt, da vores trusler tilsyneladende blev blokeret, før de overhovedet kunne kryptere noget.
Selvom dette var en god start, var vores testprøver velkendte, og vi ville forvente ethvert anstændigt anti-ransomware-værktøj, der kunne blokere dem. Derfor satte vi også RansomStopper mod vores egen ransomware-simulator, tilpasset kode designet til at spider gennem et testmappetræ og forsøge at kryptere tusindvis af dokumenter. Da vi selv havde udviklet dette, vil dets adfærd sandsynligvis være anderledes end alt andet, som RansomStopper har stødt på, hvilket gør det til en hårdere test af dets evner.
Resultaterne var lidt skuffende, da RansomStopper ignorerede vores kode fuldstændigt og lod den kryptere tusindvis af virkelige dokumenter inden for få sekunder.
Dette stemmer ikke overens med nogle af de andre anti-ransomware-teknologier, vi har testet. Bitdefender og Kasperskys almindelige antiviruspakker opdagede både virkelige trusler og vores egen ransomware-simulator og gendannede endda de få filer, det havde formået at kryptere.
Selvom vi krediterer leverandører som Bitdefender og Kaspersky for at have bestået vores simulator-test, straffer vi stadig ikke virksomheder, der fejler det. Vores testtrussel var ikke rigtig malware, og du kunne argumentere for, at CyberSight tog den rigtige beslutning ved at ignorere den. Vi er ikke sikre på det, men hvad vi ved er, at CyberSight næsten øjeblikkeligt blokerede vores virkelige verdens ransomware-prøver, og det var de tests, der virkelig betyder noget.
Endelig dom
RansomStopper blokerede let vores test-ransomware, men vi er bekymrede over muligheden for, at den kunne deaktiveres i nogle situationer eller udnyttes til at gøre et angreb endnu værre. Det er i sig selv dårligt, men det efterlader os også at undre sig over, hvilke andre problemer der lurer under emhætten.
- Vi har også fremhævet den bedste anti-ransomware-software