Actualizar:CyberSight RansomStopper parece que ya no existe, o al menos no hay rastro del sitio web, o no hay señales de actividad en el feed de Twitter de la empresa durante más de un año. Dejamos nuestra revisión a continuación para que pueda leer nuestra evaluación del producto si tiene curiosidad, pero como aparentemente ya no está disponible, es posible que desee ver las herramientas de descifrado de Avast Free Ransomware como alternativa, que es nuestra principal Elija el mejor software anti-ransomware gratuito.
La revisión original sigue a continuación …
CyberSight RansomStopper es una herramienta interesante que utiliza múltiples técnicas para protegerte de todo tipo de ransomware, desde las conocidas hasta las últimas amenazas emergentes.
Esto comienza con RansomStopper analizando aplicaciones desconocidas antes de que se ejecuten, lo que le permite bloquear algunos ransomware incluso antes de que puedan iniciarse.
Una vez que se está ejecutando un proceso, se activa el análisis de comportamiento, y RansomStopper siempre está atento a acciones similares a malware.
- Puede registrarse en CyberSight RansomwareStopper aquí
Esto se complementa con lo que CyberSight llama 'trampas inteligentes' (otros productos se refieren a ellas como trampas de miel), archivos y carpetas ficticios que RansomStopper monitorea constantemente para detectar ataques.
La compatibilidad con el aprendizaje automático garantiza un "aprendizaje automatizado y continuo", según el sitio web. Suena genial, aunque al igual que con las afirmaciones de 'aprendizaje automático' de todas las empresas, el usuario final no tiene forma de ver qué tan efectivo es realmente.
Todas estas funciones están disponibles de forma gratuita en la edición Home y Personal de RansomStopper. Eso es bueno, aunque hay una omisión significativa: el producto gratuito no ofrece ninguna protección para las regiones críticas del disco como el MBR, lo que lo deja expuesto a algunos tipos de malware. (Si bien eso es un problema, puede que no importe mucho si su antivirus existente ya lo maneja).
La edición Business de RansomStopper agrega MBR y protecciones relacionadas, pero por lo demás se enfoca en características relacionadas con el negocio: soporte de Windows Server (08, 12, 16), política de grupo, administración central, alertas por correo electrónico, informes y más.
RansomStopper Business tiene un precio de $ 19.95 (£ 15.35) por una PC, licencia de un año, o $ 69.95 (£ 53.81) para proteger un servidor. Si eso le parece demasiado, extender el plazo de la licencia le ofrece un descuento y, por ejemplo, proteger un solo servidor durante tres años cuesta $ 146,91 (£ 113).
Configuración
Al tocar el enlace de descarga en el sitio web de RansomStopper, nos dirigimos a un formulario que solicitaba nuestro nombre y dirección de correo electrónico. Una vez que acordamos que CyberSight podría enviarnos correos electrónicos promocionales (consentimiento que podríamos retirar en cualquier momento cancelando la suscripción), pudimos descargar e instalar RansomStopper.
Al revisar nuestro sistema, encontramos que RansomStopper había agregado tres procesos en segundo plano a nuestro sistema, usando alrededor de 110 MB de RAM. Eso probablemente no molestará a la mayoría de la gente, pero es más que algo de la competencia, principalmente porque el paquete usa una GUI voluminosa basada en Chromium.
Al tocar el ícono de la bandeja del sistema de RansomStopper, se muestra una interfaz simple con tres listas (Procesos permitidos, Procesos bloqueados y en cuarentena, Alertas de seguridad) y un botón 'Buscar actualizaciones'. Esto podría ayudar si RansomStopper comete un error, por ejemplo, permitiéndole hacer que una aplicación marcada falsamente funcione nuevamente, pero de lo contrario puede dejar el programa en ejecución y olvidarse de la consola por completo.
Creemos que es importante que los productos de seguridad puedan evitar la interferencia de malware, y la mayoría de los motores antivirus tienen alguna forma de capacidad de autodefensa para ayudarlos a hacer exactamente eso. Desafortunadamente, CyberSight no parece sentirse de la misma manera.
Cuando intentamos cerrar los procesos de RansomStopper, por ejemplo, esperábamos algún tipo de error de acceso. Pero no: los procesos centrales simplemente se apagan, sin advertencias ni alertas. Cualquier otro proceso puede hacer lo mismo, incluso desde un archivo por lotes, no se requieren derechos de administrador.
Los procesos de usuario se refieren principalmente a la interfaz. El trabajo real de RansomStopper ocurre en su servicio, y eso todavía se estaba ejecutando, por lo que todavía estábamos protegidos, ¿verdad? Bueno, no necesariamente, o al menos, no por mucho tiempo. Si una aplicación tiene derechos de administrador, entonces puede detener el servicio tan fácilmente como puede matar los procesos.
RansomStopper intenta solucionar esto reiniciando el servicio periódicamente, pero no tiene su propio mecanismo para hacerlo. En su lugar, configura una tarea programada de Windows para que se active cada cinco minutos, iniciando un script que a su vez reiniciará el servicio si se detiene.
El malware no puede eliminar o cambiar esta tarea, pero notamos que un proceso con derechos de administrador podría reemplazar el script de reinicio (y otros archivos de RansomStopper) con su propio código, lanzando cualquier código que quisiera. Hicimos esto, detuvimos el servicio RansomStopper y esperamos.
Cinco minutos más tarde, la tarea programada se inició y lanzó nuestro proceso BadApp.exe elegido con derechos del sistema (es decir, incluso más poderoso que un administrador). Si nuestro proceso realmente hubiera sido malicioso, habría muy poco que no lo sería. capaz de hacer. E incluso si fallara en algún momento, la tarea de reinicio de RansomStopper lo lanzaría nuevamente en cinco minutos.
En términos prácticos, para el usuario medio, esto no supondrá una gran diferencia. La mayoría de ransomware no se molestará en buscar paquetes anti-ransomware. La mayoría de los que lo hacen no buscarán RansomStopper. La mayoría de los que quedan, no tendrán los derechos de administrador para comprometer su protección. Y si tiene un código malicioso en su PC que se ejecuta con derechos de administrador, de todos modos está en un gran problema.
Pero todavía existe al menos un riesgo teórico de que una amenaza pueda usar los trucos simples que hemos descrito para deshabilitar o subvertir la protección de RansomStopper, y ese no es un problema que hayamos visto hasta este punto con la mayoría de la competencia. Emsisoft Anti-Malware, por ejemplo, protege su código correctamente, e incluso si se ejecuta con derechos de administrador, el malware no puede cerrar fácilmente los procesos de Emsisoft o detener sus servicios. Estos son pasos fundamentales para cualquier buen producto de seguridad, y CyberSight necesita con urgencia agregar el mismo nivel de protección a RansomStopper.
Proteccion
Al revisar los paquetes de antivirus, verificamos sus resultados en los laboratorios de pruebas independientes para tener una idea de cómo funcionan. Desafortunadamente, los laboratorios rara vez, si es que alguna vez, miran al anti-ransomware, así que recurrimos a la ejecución de algunas pruebas más pequeñas.
El proceso comenzó muy bien, con RansomStopper bloqueando todas nuestras muestras de ransomware conocidas. CyberSight dice que el paquete puede restaurar automáticamente los archivos dañados, pero esto no parecía ser necesario, ya que aparentemente nuestras amenazas fueron bloqueadas antes de que pudieran cifrar cualquier cosa.
Si bien este fue un gran comienzo, nuestras muestras de prueba eran bien conocidas y esperaríamos que cualquier herramienta anti-ransomware decente las bloqueara. Es por eso que también enfrentamos a RansomStopper con nuestro propio simulador de ransomware, un código personalizado diseñado para atravesar un árbol de carpetas de prueba e intentar cifrar miles de documentos. Como lo hemos desarrollado nosotros mismos, es probable que su comportamiento sea diferente a cualquier otra cosa que RansomStopper haya encontrado, lo que la convierte en una prueba más dura de sus habilidades.
Los resultados fueron un poco decepcionantes, ya que RansomStopper ignoró nuestro código por completo, lo que le permitió cifrar miles de documentos del mundo real en segundos.
Esto no coincide con algunas de las otras tecnologías anti-ransomware que hemos probado. Los paquetes antivirus habituales de Bitdefender y Kaspersky detectaron tanto amenazas del mundo real como nuestro propio simulador de ransomware, e incluso restauraron los pocos archivos que había logrado cifrar.
Aún así, aunque damos crédito a proveedores como Bitdefender y Kaspersky por aprobar nuestra prueba de simulador, no penalizamos a las empresas que fallan. Nuestra amenaza de prueba no era un malware real y se podría argumentar que CyberSight tomó la decisión correcta al ignorarlo. No estamos seguros de eso, pero lo que sí sabemos es que CyberSight bloqueó nuestras muestras de ransomware del mundo real casi de inmediato, y esas fueron las pruebas que realmente importan.
Veredicto final
RansomStopper bloqueó todo nuestro ransomware de prueba con facilidad, pero nos preocupa la posibilidad de que pueda desactivarse en algunas situaciones o explotarse para empeorar un ataque. Eso es malo en sí mismo, pero también nos deja preguntándonos qué otros problemas podrían estar acechando bajo el capó.
- También hemos destacado el mejor software anti-ransomware