CyberSight RansomStopper est un outil intéressant qui utilise plusieurs techniques pour vous protéger de tous les types de ransomware, des menaces connues aux plus récentes.
Cela commence par l’analyse par RansomStopper d’applications inconnues avant leur exécution, ce qui lui permet de bloquer certains ransomwares avant même qu’ils ne puissent être lancés.
Une fois qu’un processus est en cours d’exécution, l’analyse comportementale débute, RansomStopper recherchant en permanence des actions analogues à des programmes malveillants.
- Vous pouvez vous inscrire à CyberSight RansomwareStopper ici
À cela s’ajoute ce que CyberSight appelle des «pièges intelligents» (d’autres produits les désignent sous le nom de honeytraps), des fichiers factices et des dossiers que RansomStopper surveille en permanence en cas d’attaque.
Le soutien à l’apprentissage automatique assure un «apprentissage continu et automatisé», selon le site internet Cela semble excellent, bien que, comme le prétendent toutes les entreprises dans le domaine de «l’apprentissage automatique», l’utilisateur final ne voit aucunement à quel point cela est réellement efficace.
Toutes ces fonctionnalités sont disponibles gratuitement dans les éditions Home et Personal de RansomStopper. C’est une bonne chose, mais il y a une omission importante: le produit gratuit n’offre aucune protection pour les régions de disque critiques telles que le MBR, ce qui vous expose à certains types de programmes malveillants. (Même s’il s’agit d’un problème, cela n’aura peut-être pas beaucoup d’importance si votre antivirus existant le gère déjà.)
L’édition Business de RansomStopper ajoute le MBR et les protections associées, mais se concentre également sur les fonctionnalités liées à l’entreprise: prise en charge de Windows Server (08, 12, 16), stratégie de groupe, administration centrale, alertes par courrier électronique, rapports, etc.
Le prix de RansomStopper Business est compris entre 19,95 $ (15,35 £) pour une licence d’un an pour un ordinateur et 69,95 $ (53,81 £) pour protéger un serveur. Si cela vous semble trop, prolonger la durée de la licence vous permet d’obtenir un rabais. Par exemple, protéger un serveur unique pendant trois ans coûte 146,91 $ (113 £).
Installer
En appuyant sur le lien de téléchargement sur le site Web de RansomStopper, nous avons abouti à un formulaire demandant notre nom et notre adresse électronique. Une fois que nous avions convenu que CyberSight pouvait nous envoyer des courriels promotionnels (nous pouvions nous retirer à tout moment en nous désabonnant), nous avons pu télécharger et installer RansomStopper.
En vérifiant notre système, nous avons constaté que RansomStopper avait ajouté trois processus d’arrière-plan à notre système, utilisant environ 110 Mo de RAM. Cela ne gênera probablement pas la plupart des gens, mais c’est plus que certains concurrents, principalement parce que le package utilise une interface graphique volumineuse basée sur Chromium.
Taper sur l’icône de la barre d’état système de RansomStopper affiche une interface simple avec trois listes (Processus autorisés, Processus bloqués et en quarantaine, Alertes de sécurité) et un bouton « Rechercher les mises à jour ». Cela peut aider si RansomStopper commet une erreur, par exemple en vous permettant de faire fonctionner à nouveau une application faussement marquée, mais vous pouvez sinon laisser le programme en cours d’exécution et oublier complètement la console.
Nous pensons qu’il est important que les produits de sécurité puissent se protéger des interférences causées par les logiciels malveillants, et la plupart des moteurs antivirus disposent d’une capacité d’autodéfense leur permettant de faire exactement cela. Malheureusement, CyberSight ne semble pas ressentir la même chose.
Lorsque nous avons essayé de fermer les processus de RansomStopper, par exemple, nous nous attendions à une sorte d’erreur d’accès. Mais non: les processus de base sont simplement arrêtés, sans avertissement ni alerte. Tout autre processus peut faire la même chose, même à partir d’un fichier de commandes. Aucun droit d’administrateur n’est requis.
Les processus utilisateur concernent principalement l’interface. Le vrai travail de RansomStopper se passe à son service, et cela fonctionnait toujours, donc nous étions toujours protégés, non? Eh bien, pas nécessairement, ou du moins, pas pour longtemps. Si une application dispose de droits d’administrateur, elle peut arrêter le service aussi facilement qu’elle peut tuer les processus.
RansomStopper tente de résoudre ce problème en redémarrant le service périodiquement, mais il ne dispose pas de son propre mécanisme. Au lieu de cela, il configure une tâche planifiée Windows pour qu’elle démarre toutes les cinq minutes, en lançant un script qui à son tour relancera le service s’il est arrêté.
Les logiciels malveillants ne peuvent pas supprimer ou modifier cette tâche, mais nous avons constaté qu’un processus doté de droits d’administrateur pouvait remplacer le script de redémarrage (et d’autres fichiers RansomStopper) par son propre code, en lançant le code de votre choix. Nous avons fait cela, avons arrêté le service RansomStopper et avons attendu.
Cinq minutes plus tard, la tâche planifiée a démarré et elle a lancé notre processus choisi BadApp.exe avec les droits système (c’est-à-dire, même plus puissant qu’un administrateur.) Si notre processus avait vraiment été malveillant, il y en aurait très peu capable de faire. Et même si cela échouait à un moment donné, la tâche de redémarrage de RansomStopper le relancerait dans les cinq minutes.
Concrètement, pour l’utilisateur moyen, cela ne fera pas beaucoup de différence. La plupart des ransomwares ne chercheront pas des paquets anti-ransomwares. La plupart des gens qui le font ne chercheront pas RansomStopper. La plupart de ceux qui restent n’auront pas les droits d’administrateur pour compromettre sa protection. Et si vous avez un code malveillant sur votre PC fonctionnant avec des droits d’administrateur, vous rencontrez de gros problèmes.
Mais il existe toujours au moins un risque théorique qu’une menace utilise les astuces décrites pour désactiver ou nuire à la protection de RansomStopper. Ce n’est pas un problème que nous avons vu à ce point avec la plupart des concurrents. Emsisoft Anti-Malware, par exemple, protège correctement son code. Même s’il fonctionne avec des droits d’administrateur, les logiciels malveillants ne peuvent pas facilement fermer les processus Emsisoft ou arrêter ses services. Ce sont des étapes fondamentales pour tout bon produit de sécurité, et CyberSight doit de toute urgence ajouter le même niveau de protection à RansomStopper.
protection
Lors de l’examen des packages antivirus, nous vérifions leurs résultats auprès des laboratoires de tests indépendants pour avoir une idée de leur performance. Les laboratoires examinent rarement, voire jamais, les logiciels anti-ransomware, malheureusement, alors nous nous sommes abstenus de faire nos propres tests.
Le processus a très bien commencé, avec RansomStopper bloquant tous nos échantillons de ransomware connus. CyberSight indique que le paquet peut restaurer automatiquement les fichiers endommagés, mais cela ne semblait pas nécessaire, car nos menaces ont apparemment été bloquées avant qu’elles ne puissent chiffrer quoi que ce soit.
Bien que ce fût un bon début, nos échantillons de test étaient bien connus et nous nous attendions à ce que tout outil anti-ransomware décent les bloque. C’est pourquoi nous avons également opposé RansomStopper à notre propre simulateur de ransomware, un code personnalisé conçu pour naviguer dans une arborescence de dossiers de test et tenter de chiffrer des milliers de documents. Comme nous l’avons développé nous-mêmes, son comportement est susceptible d’être différent de tout ce que RansomStopper a rencontré, ce qui en fait un test plus difficile de ses capacités.
Les résultats ont été un peu décevants, car RansomStopper a complètement ignoré notre code, lui permettant de chiffrer des milliers de documents du monde réel en quelques secondes.
Cela ne correspond pas à certaines des autres technologies anti-ransomware que nous avons testées. Les progiciels antivirus habituels de Bitdefender et de Kaspersky ont détecté à la fois des menaces réelles et notre propre simulateur de ransomware, même en restaurant les quelques fichiers qu’elle avait réussi à chiffrer.
Néanmoins, même si nous attribuons du crédit au test de simulateur, des fournisseurs tels que Bitdefender et Kaspersky ne pénalisent pas les entreprises qui échouent. Notre menace de test n’était pas un véritable malware, et vous pouvez affirmer que CyberSight a pris la bonne décision en l’ignorant. Nous ne sommes pas sûrs de cela, mais nous savons que CyberSight a bloqué nos échantillons de logiciels ransomware du monde réel presque immédiatement, et ce sont les tests qui importent vraiment.
Verdict final
RansomStopper a facilement bloqué tous nos ransomwares de test, mais nous craignons qu’il ne puisse être désactivé dans certaines situations, ou exploité pour aggraver une attaque. C’est mauvais en soi, mais cela nous laisse également à nous demander quelles autres questions pourraient se cacher sous le capot.
- Nous avons également mis en avant le meilleur logiciel anti-ransomware
