CyberSight RansomStopper es una herramienta interesante que utiliza múltiples técnicas para protegerlo de todo tipo de ransomware, desde amenazas conocidas hasta las más recientes.
Esto comienza cuando RansomStopper analiza las aplicaciones desconocidas antes de que se ejecuten, lo que le permite bloquear algunos ransomware antes de que pueda iniciarse.
Una vez que se está ejecutando un proceso, se inicia el análisis de comportamiento, con RansomStopper siempre buscando acciones como malware.
- Puedes registrarte en CyberSight RansomwareStopper aquí
Esto se complementa con lo que CyberSight denomina «trampas inteligentes» (otros productos se refieren a ellas como trampas de miel), archivos ficticios y carpetas que RansomStopper monitorea constantemente para detectar ataques.
El soporte para el aprendizaje automático garantiza un «aprendizaje automatizado y continuo», según el sitio web. Suena bien, aunque al igual que con las afirmaciones de «aprendizaje automático» de todas las empresas, no hay forma de que el usuario final vea cuán efectivo es esto realmente.
Todas estas funciones están disponibles de forma gratuita en la edición para el hogar y personal de RansomStopper. Eso es bueno, aunque hay una omisión significativa: el producto gratuito no ofrece ninguna protección para regiones de disco críticas como el MBR, lo que lo deja expuesto a algunos tipos de malware. (Si bien eso es un problema, puede que no importe mucho si su antivirus existente ya lo maneja).
La edición Business de RansomStopper agrega MBR y protecciones relacionadas, pero por lo demás se enfoca en características relacionadas con el negocio: soporte de Windows Server (08, 12, 16), política de grupo, administración central, alertas de correo electrónico, informes y más.
RansomStopper Business tiene un precio de $ 19.95 (£ 15.35) para una PC, una licencia de un año, o $ 69.95 (£ 53.81) para proteger un servidor. Si le parece que es demasiado para usted, extender el plazo de la licencia le otorga un descuento y, por ejemplo, proteger un solo servidor durante tres años cuesta $ 146.91 (£ 113).
Preparar
Al tocar el enlace de descarga en el sitio web de RansomStopper, nos llevó a un formulario solicitando nuestro nombre y dirección de correo electrónico. Una vez que acordamos que CyberSight podría enviarnos correos electrónicos promocionales (consentimiento que podríamos retirar en cualquier momento cancelando la suscripción), pudimos descargar e instalar RansomStopper.
Comprobando nuestro sistema, encontramos que RansomStopper había agregado tres procesos de fondo a nuestro sistema, utilizando alrededor de 110 MB de RAM. Probablemente eso no molestará a la mayoría de las personas, pero es más que parte de la competencia, principalmente porque el paquete utiliza una GUI basada en Chromium.
Al tocar el icono de la bandeja del sistema de RansomStopper, se muestra una interfaz simple con tres listas (Procesos permitidos, Procesos bloqueados y en cuarentena, Alertas de seguridad) y un botón ‘Buscar actualizaciones’. Esto podría ayudar si RansomStopper comete un error, por ejemplo, permitiéndole hacer que una aplicación con marca falsa vuelva a funcionar, pero de lo contrario puede dejar el programa en ejecución y olvidarse completamente de la consola.
Creemos que es importante que los productos de seguridad puedan evitar la interferencia del malware, y la mayoría de los motores antivirus tienen algún tipo de capacidad de defensa personal para ayudarles a hacer exactamente eso. Desafortunadamente, CyberSight no parece sentir lo mismo.
Cuando intentamos cerrar los procesos de RansomStopper, por ejemplo, esperábamos algún tipo de error de acceso. Pero no: los procesos centrales simplemente se cierran, sin advertencia o alerta. Cualquier otro proceso puede hacer lo mismo, incluso desde un archivo por lotes, no se requieren derechos de administrador.
Los procesos de usuario son en su mayoría sobre la interfaz. El trabajo real de RansomStopper sucede en su servicio, y aún estaba en ejecución, por lo que todavía estábamos protegidos, ¿verdad? Bueno, no necesariamente, o al menos, no por mucho tiempo. Si una aplicación tiene derechos de administrador, puede detener el servicio tan fácilmente como puede detener los procesos.
RansomStopper intenta lidiar con esto reiniciando el servicio periódicamente, pero no tiene su propio mecanismo para hacerlo. En su lugar, configura una tarea programada de Windows para iniciar cada cinco minutos, iniciando un script que, a su vez, reiniciará el servicio si se detiene.
El malware no puede eliminar o cambiar esta tarea, pero nos dimos cuenta de que un proceso con derechos de administrador podría reemplazar el script de reinicio (y otros archivos de RansomStopper) con su propio código, iniciando el código que quisiera. Hicimos esto, detuvimos el servicio de RansomStopper y esperamos.
Cinco minutos después, la tarea programada se activó y lanzó nuestro proceso BadApp.exe elegido con derechos del Sistema (es decir, incluso más poderoso que un Administrador). Si nuestro proceso realmente hubiera sido malicioso, no habría mucho que no. capaz de hacer. E incluso si fallara en algún momento, la tarea de reinicio de RansomStopper se iniciaría nuevamente dentro de cinco minutos.
En términos prácticos, para el usuario promedio, esto no hará mucha diferencia. La mayoría del ransomware no se molestará en buscar paquetes anti-ransomware. La mayoría de los que lo hacen, no buscarán RansomStopper. La mayoría de los que quedan, no tendrán los derechos de administrador para comprometer su protección. Y si tiene un código malicioso en su PC que se ejecuta con derechos de administrador, de todos modos, está en un gran problema.
Pero todavía hay al menos un riesgo teórico de que una amenaza podría usar los simples trucos que describimos para deshabilitar o subvertir la protección de RansomStopper, y ese no es un problema que haya visto hasta este punto con la mayoría de la competencia. Emsisoft Anti-Malware, por ejemplo, protege su código correctamente, e incluso si se ejecuta con derechos de administrador, el malware no puede cerrar fácilmente los procesos de Emsisoft o detener sus servicios. Estos son pasos fundamentales para cualquier buen producto de seguridad, y CyberSight necesita con urgencia agregar el mismo nivel de protección a RansomStopper.
Proteccion
Al revisar los paquetes de antivirus, verificamos sus resultados en los laboratorios de pruebas independientes para tener una idea de cómo se desempeñan. Desafortunadamente, los laboratorios rara vez, si alguna vez han analizado el software antiransomware, nos hemos echado atrás en nuestras propias pruebas más pequeñas.
El proceso comenzó muy bien, con RansomStopper bloqueando todas nuestras muestras conocidas de ransomware. CyberSight dice que el paquete puede restaurar automáticamente los archivos dañados, pero esto no parece ser necesario, ya que nuestras amenazas aparentemente se bloquearon antes de que pudieran cifrar cualquier cosa.
Si bien este fue un gran comienzo, nuestras muestras de prueba fueron bien conocidas y esperaríamos que cualquier herramienta decente contra el ransomware las bloquee. Es por eso que también enfrentamos a RansomStopper con nuestro propio simulador de ransomware, un código personalizado diseñado para navegar a través de un árbol de carpetas de prueba e intentar cifrar miles de documentos. Como lo hemos desarrollado nosotros mismos, es probable que su comportamiento sea diferente a cualquier otra cosa que RansomStopper haya encontrado, lo que lo convierte en una prueba más difícil de sus habilidades.
Los resultados fueron un poco decepcionantes, ya que RansomStopper ignoró completamente nuestro código, permitiéndole cifrar miles de documentos del mundo real en segundos.
Esto no coincide con algunas de las otras tecnologías anti-ransomware que hemos probado. Los paquetes regulares de antivirus de Bitdefender y Kaspersky detectaron amenazas reales y nuestro propio simulador de ransomware, incluso restaurando los pocos archivos que había logrado cifrar.
Sin embargo, aunque le damos crédito a proveedores como Bitdefender y Kaspersky por pasar nuestra prueba de simulador, no penalizamos a las empresas que la suspenden. Nuestra amenaza de prueba no era un malware real, y podría argumentar que CyberSight tomó la decisión correcta al ignorarlo. No estamos seguros de eso, pero lo que sí sabemos es que CyberSight bloqueó nuestras muestras de ransomware del mundo real casi de inmediato, y esas fueron las pruebas que realmente importan.
Veredicto final
RansomStopper bloqueó todos nuestros ransomware de prueba con facilidad, pero nos preocupa la posibilidad de que se pueda deshabilitar en algunas situaciones o explotar para hacer un ataque aún peor. Eso es malo en sí mismo, pero también nos deja preguntándonos qué otros problemas podrían estar al acecho bajo el capó.
- También hemos destacado el mejor software anti-ransomware.
