Uppdatering:CyberSight RansomStopper verkar inte längre existera - eller åtminstone finns det inga spår av webbplatsen, eller inga tecken på någon aktivitet på företagets Twitter-flöde i över ett år. Vi har lämnat vår recension nedan så att du fortfarande kan läsa vår utvärdering av produkten om du är nyfiken, men eftersom den till synes inte längre är tillgänglig kanske du vill titta på Avast Free Ransomware Decryption Tools som ett alternativ, vilket är vår topp välja det bästa gratisprogrammet mot ransomware.
Originalrecension följer nedan …
CyberSight RansomStopper är ett intressant verktyg som använder flera tekniker för att skydda dig från alla typer av ransomware, från kända till de allra senaste nya hoten.
Detta börjar med att RansomStopper analyserar okända applikationer innan de körs, vilket gör att den kan blockera en del ransomware innan den ens kan startas.
När en process är igång, börjar beteendeanalys, med RansomStopper som alltid ser efter skadliga program.
- Du kan registrera dig för CyberSight RansomwareStopper här
Detta kompletteras med vad CyberSight kallar 'smart traps' (andra produkter hänvisar till dem som honeytraps), dummyfiler och mappar som RansomStopper ständigt övervakar för attack.
Stöd för maskininlärning säkerställer "automatiserat och kontinuerligt lärande", enligt webbplatsen. Låter bra, men som med alla företags påståenden om maskininlärning finns det inget sätt för slutanvändaren att se hur effektivt detta verkligen är.
Alla dessa funktioner är tillgängliga gratis i RansomStoppers hem- och personupplaga. Det är bra, även om det finns en betydande utelämning: den fria produkten erbjuder inget skydd för kritiska diskregioner som MBR, vilket gör att du utsätts för vissa skadliga programtyper. (Även om det är ett problem, kanske det inte spelar någon roll om ditt befintliga antivirusprogram redan hanterar detta.)
RansomStoppers affärsutgåva lägger till MBR och relaterat skydd, men fokuserar annars på affärsrelaterade funktioner: Windows Server-support (08, 12, 16), grupppolicy, central administration, e-postvarningar, rapportering och mer.
RansomStopper Business är prissatt från $ 19,95 (£ 15,35) för en PC, ett års licens eller $ 69,95 (£ 53,81) för att skydda en server. Om det låter för mycket för dig, får du en rabatt att förlänga licensperioden, och till exempel att skydda en enda server i tre år kostar $ 146,91 (£ 113).
Uppstart
Att knacka på nedladdningslänken på RansomStoppers webbplats tog oss till ett formulär där vi begärde vårt namn och e-postadress. När vi väl kommit överens om att CyberSight skulle kunna skicka e-postmeddelanden till oss (samtycke som vi kunde dra tillbaka när som helst genom att avsluta prenumerationen) kunde vi ladda ner och installera RansomStopper.
När vi kontrollerade vårt system fann vi att RansomStopper hade lagt till tre bakgrundsprocesser i vårt system med cirka 110 MB RAM. Det kommer förmodligen inte att störa de flesta, men det är mer än en del av tävlingen, främst för att paketet använder en skrymmande krombaserad GUI.
Om du trycker på RansomStoppers systemfältikon visas ett enkelt gränssnitt med tre listor (tillåtna processer, blockerade och karantänprocesser, säkerhetsvarningar) och en "Sök efter uppdateringar" -knappen. Detta kan hjälpa om RansomStopper gör ett misstag, till exempel så att du kan få en falskt flaggad app att fungera igen, men annars kan du låta programmet gå och glömma konsolen helt.
Vi tycker att det är viktigt att säkerhetsprodukter kan hindra sig från störningar av skadlig programvara, och de flesta antivirusmotorer har någon form av självförsvarskapacitet för att hjälpa dem att göra exakt det. Tyvärr verkar CyberSight inte känna på samma sätt.
När vi till exempel försökte stänga RansomStoppers processer förväntade vi oss något slags åtkomstfel. Men nej: kärnprocesserna stängs helt enkelt av, utan varning eller varning. Varje annan process kan göra detsamma, även från en batchfil, inga administratörsrättigheter krävs.
Användarprocesserna handlar mest om gränssnittet. RansomStoppers verkliga arbete händer i dess tjänst, och det var fortfarande igång, så vi var fortfarande skyddade, eller hur? Tja, inte nödvändigtvis, eller åtminstone inte länge. Om ett program har administratörsrättigheter kan det stoppa tjänsten så lätt som det kan döda processerna.
RansomStopper försöker hantera detta genom att starta om tjänsten regelbundet, men den har ingen egen mekanism för att göra detta. I stället sätter det upp en schemalagd Windows-uppgift för att sparka in var femte minut och startar ett skript som i sin tur startar om tjänsten om den stoppas.
Skadlig programvara kan inte ta bort eller ändra denna uppgift, men vi märkte att en process med administratörsrättigheter kunde ersätta omstartsskriptet (och andra RansomStopper-filer) med sin egen kod och starta vilken kod som helst. Vi gjorde detta, stoppade RansomStopper-tjänsten och väntade.
Fem minuter senare startade den schemalagda uppgiften och den startade vår valda BadApp.exe-process med systemrättigheter (det vill säga ännu kraftfullare än en administratör.) Om vår process verkligen hade varit skadlig, så är det väldigt lite så skulle det inte vara kunna. Och även om det misslyckades någon gång, skulle RansomStoppers startuppgift starta den igen inom fem minuter.
I praktiska termer, för den genomsnittliga användaren, kommer det inte att göra stor skillnad. De flesta ransomware bryr sig inte om att leta efter anti-ransomware-paket. De flesta som gör det kommer inte att leta efter RansomStopper. De flesta av dem som är kvar har inte administratörsrättigheterna att äventyra dess skydd. Och om du har skadlig kod på din dator som körs med administratörsrättigheter, har du ändå stora problem.
Men det finns fortfarande åtminstone en teoretisk risk för att ett hot kan använda de enkla knep som vi har beskrivit för att inaktivera eller undergräva RansomStoppers skydd, och det är inte en fråga som vi har sett i den grad med det mesta av tävlingen. Emsisoft Anti-Malware skyddar till exempel koden ordentligt, och även om den körs med administratörsrättigheter kan skadlig kod inte enkelt stänga Emsisoft-processer eller stoppa sina tjänster. Dessa är grundläggande steg för alla bra säkerhetsprodukter att ta, och CyberSight måste snarast lägga till samma skyddsnivå för RansomStopper.
Skydd
När vi granskar antiviruspaket tittar vi på deras resultat från de oberoende testlaboratorierna för att få en känsla för hur de presterar. Laboratorierna tittar tyvärr sällan, om någonsin på anti-ransomware, så vi föll tillbaka på att köra några mindre egna tester.
Processen började mycket bra, med RansomStopper som blockerade alla våra kända ransomware-prover. CyberSight säger att paketet automatiskt kan återställa skadade filer, men detta verkade inte vara nödvändigt, eftersom våra hot tydligen blockerades innan de alls kunde kryptera något.
Även om detta var en bra start, var våra testprover välkända, och vi förväntar oss att något anständigt anti-ransomware-verktyg blockerar dem. Därför satte vi också RansomStopper mot vår egen ransomware-simulator, anpassad kod utformad för att spindla genom ett testmappsträd och försöka kryptera tusentals dokument. Eftersom vi själva hade utvecklat detta kommer dess beteende sannolikt att skilja sig från allt annat som RansomStopper har stött på, vilket gör det till ett hårdare test av dess förmågor.
Resultaten var lite nedslående, eftersom RansomStopper ignorerade vår kod helt och gjorde att den kunde kryptera tusentals verkliga dokument inom några sekunder.
Detta matchar inte några av de andra anti-ransomware-teknologierna vi har testat. Bitdefender och Kasperskys vanliga antiviruspaket upptäckte både verkliga hot och vår egen ransomware-simulator, till och med återställde de få filer den lyckats kryptera.
Medan vi krediterar leverantörer som Bitdefender och Kaspersky för att ha klarat vårt simulatortest, straffar vi inte företag som misslyckas med det. Vårt testhot var inte riktigt skadlig kod, och du kan argumentera för att CyberSight fattade rätt beslut genom att ignorera det. Vi är inte säkra på det, men det vi vet är att CyberSight blockerade våra verkliga ransomware-prover nästan omedelbart, och det var de tester som verkligen betyder något.
Slutlig dom
RansomStopper blockerade all vår test ransomware med lätthet, men vi är bekymrade över möjligheten att den kan inaktiveras i vissa situationer eller utnyttjas för att göra en attack ännu värre. Det är dåligt i sig, men det låter oss också undra vilka andra problem som kan luras under huven.
- Vi har också markerat det bästa anti-ransomware-programmet