Защита от шифровальщико

Обзор CyberSight RansomStopper. Защита от шифровальщиков

CyberSight RansomStopper

Это интересный инструмент, который использует несколько методов для защиты вас от всех типов вымогателей, от известных до самых разных безымянных возникающих угроз.

RansomStopper анализирует неизвестные приложения перед их выполнением, что позволяет ему блокировать некоторые программы-вымогатели еще до того, как они могут запуститься.

Когда процесс запущен, включается поведенческий анализ, и RansomStopper всегда ищет действия, подобные вредоносным программам.

Защита от шифровальщико
Это дополняется тем, что CyberSight называет «умными ловушками» (другие продукты называют их «ловушками»), фиктивными файлами и папками, которые RansomStopper постоянно отслеживает на предмет атак.

Поддержка машинного обучения

Тем самым обеспечивает «автоматическое и непрерывное обучение», сообщается на сайте. Звучит здорово, хотя, как и в случае с заявлениями «машинного обучения» каждой компании, у конечного пользователя нет способа увидеть, насколько это эффективно.

Все эти функции доступны бесплатно в домашней и личной версии RansomStopper. Это хорошо, хотя есть одно существенное упущение: бесплатный продукт не предлагает никакой защиты для критических областей диска, таких как MBR, оставляя вас подверженными воздействию некоторых типов вредоносных программ. (Хотя это проблема, это может не иметь большого значения, если ваш существующий антивирус уже обрабатывает это.)

Бизнес-версия RansomStopper добавляет MBR и соответствующие средства защиты, но в остальном фокусируется на связанных с бизнесом функциях: поддержка Windows Server (08, 12, 16), групповая политика, центральное администрирование, оповещения по электронной почте, отчеты и многое другое.

Стоимость RansomStopper Business составляет от 19,95 долл. США (15,35 фунтов стерлингов) за один ПК, годовая лицензия или 69,95 долл. США (53,81 фунта стерлингов) за защиту одного сервера. Если это звучит слишком много для вас, продление срока действия лицензии дает вам скидку, и, например, защита одного сервера в течение трех лет стоит $ 146,91 (£ 113).

Установка и настройка

Чтобы ваша защита от шифровальщиков работала, нужно скачать пакет установки, нажав на ссылку «Скачать» на веб-сайте RansomStopper, мы попали в форму с запросом нашего имени и адреса электронной почты. Как только мы договорились, что CyberSight может отправлять нам рекламные электронные письма (согласие мы можем отозвать в любое время, отписавшись), мы смогли загрузить и установить RansomStopper.

Проверяя нашу систему, мы обнаружили, что RansomStopper добавил три фоновых процесса в нашу систему, используя около 110 МБ ОЗУ. Это, вероятно, не будет беспокоить большинство людей, но это больше использования ресурсов, чем некоторыми конкурентами, в основном потому, что пакет использует громоздкий графический интерфейс на основе хрома.

При нажатии на значок в системном трее RansomStopper отображается простой интерфейс с тремя списками («Разрешенные процессы», «Блокированные и помещенные в карантин», «Предупреждения безопасности») и кнопкой «Проверить наличие обновлений». Это может помочь, если RansomStopper допустит ошибку, например, позволит вам снова запустить приложение с ошибочной пометкой, но в противном случае вы можете оставить программу работающей и полностью забыть о консоли.Мы думаем, что важно, чтобы продукты безопасности могли предотвращать вмешательство вредоносных программ, и большинство антивирусных движков имеют возможность самообороны, чтобы помочь им в этом. К сожалению, CyberSight, похоже, не может этим похвастаться.

Например, когда мы пытались закрыть процессы RansomStopper, мы ожидали какую-то ошибку доступа. Но нет: основные процессы просто отключаются, без предупреждения или предупреждения. Любой другой процесс может сделать то же самое, даже из пакетного файла, без прав администратора.

Пользовательские процессы в основном касаются интерфейса. Реальная работа RansomStopper происходит в его сервисе, и он все еще работал, так что мы все еще были защищены, верно? Ну, не обязательно, или, по крайней мере, ненадолго. Если приложение имеет права администратора, оно может остановить службу так же легко, как и убить процессы.

RansomStopper пытается справиться с этим, периодически перезапуская сервис, но у него нет собственного механизма для этого. Вместо этого он запускает запланированное задание Windows каждые пять минут, запуская скрипт, который, в свою очередь, перезапускает службу, если она остановлена.Вредоносное ПО не может удалить или изменить эту задачу, но мы заметили, что процесс с правами администратора может заменить скрипт перезапуска (и другие файлы RansomStopper) своим собственным кодом, запустив любой понравившийся код. Мы сделали это, остановили службу RansomStopper и подождали.

Пять минут спустя, запланированное задание началось, и он запустил выбранный нами процесс BadApp.exe с правами системы (то есть, даже более мощный, чем администратор). Если бы наш процесс действительно был вредоносным, он бы смог убить этот процесс не надолго. И даже если в какой-то момент произойдет сбой, задача перезапуска RansomStopper запустит его снова через пять минут.

На практике для обычного пользователя это не будет иметь большого значения. Большинство вымогателей не будут искать пакеты анти-вымогателей. Большинство, которые делают такие шантажи, не будут искать RansomStopper. Остальные из оставшихся не будет иметь прав администратора, чтобы поставить под угрозу его защиту. И если у вас есть вредоносный код на вашем компьютере, работающий с правами администратора, как никрути, у вас все равно большие проблемы.

Но все еще существует теоретический риск того, что угроза может использовать простые приемы, которые мы описали, чтобы отключить или подорвать защиту RansomStopper, и это не та проблема, с которой мы сталкивались в большинстве случаев. Например, Emsisoft Anti-Malware должным образом защищает свой код, и даже если он работает с правами администратора, вредоносная программа не может легко закрыть процессы Emsisoft или остановить свои службы. Это фундаментальные шаги для любого хорошего продукта безопасности, и CyberSight необходимо срочно добавить такой же уровень защиты в RansomStopper.

Защита от шифровальщиков

При проверке антивирусных пакетов мы проверяем их результаты в независимых лабораториях, чтобы понять, как они работают. К сожалению, лаборатории редко, если вообще смотрят на анти-вымогателей, поэтому мы прибегли к выполнению собственных небольших тестов.

Процесс начался очень хорошо, RansomStopper заблокировал все наши известные образцы вымогателей. CyberSight сообщает, что пакет может автоматически восстанавливать поврежденные файлы, но в этом не было необходимости, поскольку наши угрозы были заблокированы, прежде чем они вообще смогли что-то зашифровать.

Хотя это было отличное начало, наши тестовые образцы были хорошо известны, и мы ожидаем, что любой достойный инструмент для защиты от вымогателей блокирует их. Вот почему мы также настроили RansomStopper на наш собственный симулятор вымогателей, пользовательский код, предназначенный для поиска по дереву тестовых папок и попытки зашифровать тысячи документов. Поскольку мы разработали это сами, его поведение, вероятно, будет отличаться от всего, с чем сталкивался RansomStopper, что делает его более жестким тестом его способностей.

Результаты были немного разочаровывающими, поскольку RansomStopper полностью игнорировал наш код, позволяя ему за считанные секунды шифровать тысячи реальных документов.Это не соответствует некоторым другим технологиям защиты от вымогателей, которые мы тестировали. Обычные антивирусные пакеты Bitdefender и Kaspersky обнаружили как реальные угрозы, так и наш собственный симулятор вымогателей, даже восстановив те немногие файлы, которые удалось зашифровать.

Тем не менее, несмотря на то, что мы благодарим таких поставщиков, как Bitdefender и Kaspersky, за прохождение нашего теста на симуляторе, мы не наказываем компании, которые его провалили. Наша тестовая угроза не была реальной вредоносной программой, и вы можете утверждать, что CyberSight принял правильное решение, проигнорировав его. Мы не уверены в этом, но мы знаем, что CyberSight заблокировал наши реальные образцы вымогателей почти сразу, и это были действительно важные тесты.

Окончательный вердикт

RansomStopper с легкостью заблокировал все наши тестовые вымогатели, но мы обеспокоены тем, что они могут быть отключены в некоторых ситуациях или использованы, чтобы сделать атаку еще хуже. Это само по себе плохо, но также заставляет задуматься, какие еще проблемы могут скрываться под капотом.

Поделиться с друзьями:
Заполните адрес доставки и выберите метод оплаты
[contact-form-7 404 "Not Found"]

[su_spacer size=»40″]

[su_label type=»success»]Ваши данные конфиденциальны и не будут переданы третьим лицам[/su_label]

[su_highlight background=»#99e9ff»]Ваш менеджер: Александр тел.+79024677724[/su_highlight]

 

×
Яндекс.Метрика