Examen de CyberSight RansomStopper

Mettre à jour:CyberSight RansomStopper semble ne plus exister - ou du moins il n'y a aucune trace du site Web, ou aucun signe d'activité sur le fil Twitter de l'entreprise depuis plus d'un an. Nous avons laissé notre avis ci-dessous afin que vous puissiez toujours lire notre évaluation du produit si vous êtes curieux, mais comme il ne semble plus disponible, vous voudrez peut-être consulter les outils de décryptage Avast Free Ransomware comme alternative, qui est notre top sélection du meilleur logiciel anti-ransomware gratuit.

L'examen initial suit ci-dessous…

CyberSight RansomStopper est un outil intéressant qui utilise plusieurs techniques pour vous protéger de tous les types de ransomwares, des menaces connues aux toutes dernières menaces émergentes.

Cela commence par RansomStopper analysant les applications inconnues avant leur exécution, ce qui lui permet de bloquer certains ransomwares avant même de pouvoir se lancer.

Une fois qu'un processus est en cours d'exécution, l'analyse comportementale démarre, avec RansomStopper toujours à la recherche d'actions de type malware.

  • Vous pouvez vous inscrire à CyberSight RansomwareStopper ici

Ceci est complété par ce que CyberSight appelle des `` pièges intelligents '' (d'autres produits les appellent des pièges à miel), des fichiers et des dossiers factices que RansomStopper surveille constamment pour les attaques.

La prise en charge de l'apprentissage automatique garantit un `` apprentissage automatisé et continu '', selon le site Web. Cela a l'air génial, même si, comme pour les affirmations de `` l'apprentissage automatique '' de toutes les entreprises, l'utilisateur final n'a aucun moyen de voir à quel point cela est vraiment efficace.

Toutes ces fonctionnalités sont disponibles gratuitement dans l'édition Home et Personal de RansomStopper. C'est bien, même s'il y a une omission importante: le produit gratuit n'offre aucune protection pour les régions de disque critiques telles que le MBR, vous exposant à certains types de logiciels malveillants. (Bien que ce soit un problème, peu importe si votre antivirus existant le gère déjà.)

L'édition Business de RansomStopper ajoute le MBR et les protections associées, mais se concentre par ailleurs sur les fonctionnalités liées à l'entreprise: prise en charge de Windows Server (08, 12, 16), stratégie de groupe, administration centrale, alertes par e-mail, rapports, etc.

RansomStopper Business est au prix de 19,95 $ (15,35 £) pour un PC, une licence d'un an ou 69,95 $ (53,81 £) pour protéger un serveur. Si cela vous semble trop cher, prolonger la durée de la licence vous permet d'obtenir une réduction et, par exemple, protéger un serveur unique pendant trois ans coûte 146,91 $ (113 £).

Installer

En appuyant sur le lien Télécharger sur le site Web de RansomStopper, nous avons accédé à un formulaire demandant notre nom et notre adresse e-mail. Une fois que nous avons accepté que CyberSight puisse nous envoyer des e-mails promotionnels (consentement que nous pouvions retirer à tout moment en nous désabonnant), nous avons pu télécharger et installer RansomStopper.

En vérifiant notre système, nous avons constaté que RansomStopper avait ajouté trois processus d'arrière-plan à notre système, utilisant environ 110 Mo de RAM. Cela ne dérangera probablement pas la plupart des gens, mais c'est plus que certains concurrents, principalement parce que le package utilise une interface graphique volumineuse basée sur Chromium.

Appuyez sur l'icône de la barre d'état système de RansomStopper pour afficher une interface simple avec trois listes (processus autorisés, processus bloqués et mis en quarantaine, alertes de sécurité) et un bouton «Vérifier les mises à jour». Cela peut aider si RansomStopper fait une erreur, par exemple en vous permettant de faire fonctionner à nouveau une application faussement signalée, mais sinon, vous pouvez laisser le programme en cours d'exécution et oublier complètement la console.

Nous pensons qu'il est important que les produits de sécurité puissent se protéger des interférences des logiciels malveillants, et la plupart des moteurs antivirus disposent d'une certaine forme de capacité d'auto-défense pour les aider à faire exactement cela. Malheureusement, CyberSight ne semble pas ressentir la même chose.

Lorsque nous avons essayé de fermer les processus de RansomStopper, par exemple, nous nous attendions à une sorte d'erreur d'accès. Mais non: les processus de base s'arrêtent simplement, sans avertissement ni alerte. Tout autre processus peut faire de même, même à partir d'un fichier de commandes, aucun droit d'administrateur n'est requis.

Les processus utilisateur concernent principalement l'interface. Le vrai travail de RansomStopper se déroule dans son service, et cela fonctionnait toujours, donc nous étions toujours protégés, non? Eh bien, pas nécessairement, ou du moins, pas pour longtemps. Si une application dispose de droits d'administrateur, elle peut arrêter le service aussi facilement qu'elle peut tuer les processus.

RansomStopper essaie de résoudre ce problème en redémarrant le service périodiquement, mais il ne dispose pas de son propre mécanisme pour le faire. Au lieu de cela, il configure une tâche planifiée Windows pour démarrer toutes les cinq minutes, en lançant un script qui redémarrera à son tour le service s'il est arrêté.

Les logiciels malveillants ne peuvent pas supprimer ou modifier cette tâche, mais nous avons remarqué qu'un processus avec des droits d'administrateur pouvait remplacer le script de redémarrage (et d'autres fichiers RansomStopper) par son propre code, en lançant n'importe quel code qu'il aimait. Nous l'avons fait, avons arrêté le service RansomStopper et avons attendu.

Cinq minutes plus tard, la tâche planifiée a démarré et a lancé notre processus BadApp.exe choisi avec les droits système (c'est-à-dire encore plus puissant qu'un administrateur.) Si notre processus avait vraiment été malveillant, il y en a très peu, il ne le serait pas. capable de faire. Et même s'il échouait à un moment donné, la tâche de redémarrage de RansomStopper le relancerait dans les cinq minutes.

En termes pratiques, pour l'utilisateur moyen, cela ne fera pas beaucoup de différence. La plupart des ransomwares ne prendront pas la peine de chercher des packages anti-ransomware. La plupart de ceux qui le font ne chercheront pas RansomStopper. La plupart de ceux qui restent n'auront pas les droits d'administrateur pour compromettre sa protection. Et si vous avez un code malveillant sur votre PC fonctionnant avec des droits d'administrateur, vous avez de toute façon de gros problèmes.

Mais il existe toujours au moins un risque théorique qu'une menace puisse utiliser les astuces simples que nous avons décrites pour désactiver ou renverser la protection de RansomStopper, et ce n'est pas un problème que nous avons vu à ce degré avec la plupart des concurrents. Emsisoft Anti-Malware, par exemple, protège correctement son code, et même s'il s'exécute avec des droits d'administrateur, les logiciels malveillants ne peuvent pas facilement fermer les processus Emsisoft ou arrêter ses services. Ce sont des étapes fondamentales à suivre pour tout bon produit de sécurité, et CyberSight doit de toute urgence ajouter le même niveau de protection à RansomStopper.

protection

Lors de l'examen des packages antivirus, nous vérifions leurs résultats auprès des laboratoires de test indépendants pour avoir une idée de leurs performances. Malheureusement, les laboratoires se penchent rarement, voire jamais, sur les anti-ransomwares, alors nous nous sommes repliés sur nos propres tests plus petits.

Le processus a très bien commencé, RansomStopper bloquant tous nos échantillons de ransomwares connus. CyberSight dit que le package peut restaurer automatiquement les fichiers endommagés, mais cela ne semblait pas nécessaire, car nos menaces étaient apparemment bloquées avant de pouvoir chiffrer quoi que ce soit.

Bien que ce fût un bon début, nos échantillons de test étaient bien connus et nous nous attendrions à ce que tout outil anti-ransomware décent les bloque. C'est pourquoi nous avons également opposé RansomStopper à notre propre simulateur de ransomware, un code personnalisé conçu pour parcourir une arborescence de dossiers de test et tenter de chiffrer des milliers de documents. Comme nous l'avions développé nous-mêmes, son comportement est susceptible d'être différent de tout ce que RansomStopper a rencontré, ce qui en fait un test plus difficile de ses capacités.

Les résultats ont été un peu décevants, car RansomStopper a complètement ignoré notre code, lui permettant de crypter des milliers de documents du monde réel en quelques secondes.

Cela ne correspond pas à certaines des autres technologies anti-ransomware que nous avons testées. Les logiciels antivirus réguliers de Bitdefender et Kaspersky détectaient à la fois les menaces du monde réel et notre propre simulateur de ransomware, restaurant même les quelques fichiers qu'il avait réussi à chiffrer.

Pourtant, bien que nous remercions des fournisseurs comme Bitdefender et Kaspersky d'avoir réussi notre test de simulation, nous ne pénalisons pas les entreprises qui échouent. Notre menace de test n'était pas de vrais logiciels malveillants, et vous pourriez affirmer que CyberSight a pris la bonne décision en l'ignorant. Nous n'en sommes pas sûrs, mais ce que nous savons, c'est que CyberSight a bloqué nos échantillons de ransomwares dans le monde réel presque immédiatement, et ce sont les tests qui comptent vraiment.

Verdict final

RansomStopper a bloqué tous nos ransomwares de test avec facilité, mais nous sommes préoccupés par la possibilité qu'il puisse être désactivé dans certaines situations, ou exploité pour aggraver une attaque. C'est mauvais en soi, mais cela nous laisse également nous demander quels autres problèmes pourraient se cacher sous le capot.

  • Nous avons également mis en évidence le meilleur logiciel anti-ransomware

Articles intéressants...