Обзор CyberSight RansomStopper

Итог

CyberSight RansomStopper предлагает бесплатную специализированную защиту от программ-вымогателей и теперь обрабатывает программы-вымогатели, запускаемые при запуске Windows. Это победитель и бесплатный.

  • Вернуться к началу
  • Начало работы
  • Защита от программ-вымогателей
  • Осторожно, живые программы-вымогатели.
  • Опасность при загрузке устранена
  • Другие методы
  • Теперь победитель

Обнаружены и заблокированы все образцы реальных программ-вымогателей, включая образцы, запускаемые при запуске.

Не разрешает шифрование файлов.

Установка не будет завершена до перезагрузки.

Ваш антивирус или пакет безопасности действительно должны защитить вас от программ-вымогателей, а также от всех других видов вредоносного ПО. Может случиться случайный промах с ранее невиданной атакой, но эти неизвестные быстро становятся известны. К сожалению, при удалении программ-вымогателей постфактум ваши файлы остаются зашифрованными. Вот почему вы можете захотеть добавить в свой арсенал утилиту для защиты от программ-вымогателей. Бесплатная CyberSight RansomStopper остановила тестирование реальных программ-вымогателей, а последнее обновление обрабатывает программы-вымогатели, которые запускаются только во время загрузки.

RansomStopper очень похож на Cybereason RansomFree, Trend Micro RansomBuster и Malwarebytes Anti-Ransomware Beta. Все четыре программы бесплатны и обнаруживают программы-вымогатели по их поведению. Поскольку они полагаются на поведение, не имеет значения, является ли программа-вымогатель старым, известным количеством или только что созданной атакой нулевого дня. Как и RansomFree, RansomStopper использует файлы-приманки как часть своей методологии обнаружения. Однако RansomStopper скрывает свои файлы-приманки от пользователя.

Начало работы

Во время тестирования установка прошла быстро. После загрузки я завершил процесс, указав свои имя, фамилию и адрес электронной почты. Как только я ответил на электронное письмо с подтверждением, продукт был запущен. В отличие от ZoneAlarm Anti-Ransomware и некоторых других, для его полной работоспособности требуется перезагрузка.

Простое главное окно продукта сообщает, что «Вы защищены от программ-вымогателей». Кнопки внизу позволяют просматривать предупреждения системы безопасности, процессы, заблокированные RansomStop, и процессы, которые вы разрешили. Другая кнопка позволяет вам проверить наличие обновлений, если вы не выбрали автоматические обновления во время установки. Просто!

Похожие товары

Программа Check Point ZoneAlarm для защиты от вымогателей

Cybereason RansomFree

Бета-версия Malwarebytes Anti-Ransomware

Trend Micro RansomBuster

Bitdefender Anti-Ransomware

CryptoPrevent Premium 8

CryptoDrop Anti-Ransomware

Защита от программ-вымогателей Acronis

CyberSight также предлагает бизнес-версию. Дополнительные функции включают оповещения по электронной почте, централизованное администрирование и подробные отчеты. Бизнес-версия стоит 29,99 долларов за одну лицензию, хотя при корпоративном лицензировании цена снижается до 10 долларов за рабочее место.

Защита от программ-вымогателей

Когда RansomStopper обнаруживает атаку программы-вымогателя, он завершает процесс нарушения и отображает предупреждение в области уведомлений. Щелкнув предупреждение, вы увидите, какой файл вызвал проблему. Есть возможность удалить программы из списка заблокированных процессов вместе с предупреждением о том, что это плохая идея.

Ожидание обнаружения поведения программы-вымогателя иногда может означать, что программа-вымогатель шифрует несколько файлов перед завершением работы. Когда я тестировал Malwarebytes, он действительно потерял несколько файлов. Программа Check Point ZoneAlarm Anti-Ransomware (39,95 долл. США ежегодно оплачивается ZoneAlarm) активно восстанавливает любые зашифрованные файлы. В моем тестировании так было для каждого образца вымогателя. Однако RansomStopper остановил те же образцы, не разрешив шифрование каких-либо файлов.

Для быстрой проверки я запустил простую программу-вымогатель, которую написал сам. Все, что он делает, - это ищет текстовые файлы в папке «Документы» и под ней и шифрует их. Он использует простой обратимый шифр, поэтому при повторном запуске файлы восстанавливаются. RansomStopper поймал его и предотвратил его уловки. Пока все хорошо.

Осторожно, живые программы-вымогатели

Единственный надежный способ проверить защиту от программ-вымогателей на основе поведения - это использовать живые программы-вымогатели. Я делаю это очень осторожно, изолируя свою тестовую систему виртуальной машины от любых общих папок и из Интернета.

Этот тест может быть утомительным, если продукт для защиты от программ-вымогателей не может быть обнаружен, но мой тест RansomStopper прошел гладко. Подобно ZoneAlarm и Malwarebytes, RansomStopper перехватил все образцы, и я не нашел никаких файлов, зашифрованных до того, как сработало поведенческое обнаружение. Cybereason RansomFree справился неплохо, но пропустил один.

Я также тестирую с помощью RanSim от KnowBe4, утилиты, моделирующей 10 типов атак программ-вымогателей. Успех этого теста - полезная информация, но неудача может просто означать, что обнаружение на основе поведения правильно определило, что моделирование не является реальной программой-вымогателем. Как и RansomFree, RansomStopper игнорировал моделирование.

Опасность при загрузке устранена

Незаметность для программ-вымогателей - большая проблема. Когда это возможно, он делает свои грязные дела молча, выступая со своим требованием выкупа только после шифрования ваших файлов. Наличие прав администратора упрощает работу программы-вымогателя, но для того, чтобы добраться до этой точки, обычно требуется разрешение пользователя. Есть обходные пути, позволяющие получить эти привилегии незаметно. Сюда входит организация совмещения процесса Winlogon во время загрузки или установка запланированного задания на время загрузки. Как правило, программа-вымогатель просто запускается при загрузке, а затем выполняет принудительную перезагрузку, не выполняя никаких задач шифрования.

В своем более раннем тестировании я обнаружил, что вымогатели могут шифровать файлы во время загрузки до того, как сработает RansomStopper. Моя собственная фальшивая программа шифрования справилась с этим. Он зашифровал все текстовые файлы в папке Documents и ниже, включая текстовые файлы приманки RansomStopper. (Да, эти файлы находятся в папке, которую RansomStopper активно скрывает, но у меня есть свои методы ...) Он также пропустил реальный образец вымогателя, который я установил для запуска при запуске.

Разработчики CyberSight протестировали ряд решений этой проблемы и выпустили новую версию, которая опережает программы-вымогатели при загрузке. Я это тестировал; он работает, удаляя одно пятно на теперь безупречных результатах теста RansomStopper.

RansomFree работает как служба, поэтому он активен до любого обычного процесса. Когда я провел тот же тест, настроив запуск реального образца программы-вымогателя при запуске, RansomFree также обнаружил его. Malwarebytes также прошел этот тест. RansomBuster обнаружил атаку при загрузке и восстановил затронутые файлы.

Для дальнейшего изучения этой проблемы я получил образец программы-вымогателя Petya, которая вызвала проблемы в начале этого года. Этот конкретный штамм вызывает сбой системы, а затем имитирует восстановление во время загрузки с помощью CHKDSK. На самом деле он шифрует ваш жесткий диск. Malwarebytes, RansomFree и RansomBuster не смогли предотвратить эту атаку. RansomStopper поймал его до того, как он смог вызвать сбой системы - впечатляюще! ZoneAlarm также предотвратил атаку Пети. Честно говоря, это не типичная программа-вымогатель для шифрования файлов. Скорее, он блокирует всю систему, зашифровывая жесткий диск.

Изучив свои контакты, я узнал, что атаки программ-вымогателей при загрузке, в том числе Petya, становятся все реже. Тем не менее, я добавил этот тест в свой репертуар.

Другие методы

Обнаружение на основе поведения при правильной реализации - отличный способ борьбы с программами-вымогателями. Однако это не единственный способ. Trend Micro RansomBuster и Bitdefender Antivirus Plus относятся к числу тех, кто блокирует программы-вымогатели, контролируя доступ к файлам. Они не позволяют ненадежным программам вносить какие-либо изменения в файлы в защищенных папках. Если ненадежная программа попытается изменить ваши файлы, вы получите уведомление. Как правило, вы можете добавить неизвестную программу в список доверенных. Это может быть удобно, если заблокированной программой был ваш новый текстовый или фоторедактор. Panda Internet Security идет еще дальше, предотвращая чтение данных из защищенных файлов ненадежными программами.

Мошенники-вымогатели должны позаботиться о том, чтобы они могли расшифровать файлы, когда жертва заплатит. Шифрование файлов более одного раза может помешать восстановлению, поэтому большинство из них содержат какой-либо маркер для предотвращения второй атаки. Bitdefender Anti-Ransomware использует эту технику, чтобы заставить определенные семейства вымогателей думать, что они уже атаковали вас. Однако учтите, что этот метод ничего не может сделать с совершенно новыми типами программ-вымогателей.

Когда Webroot SecureAnywhere AntiVirus обнаруживает неизвестный процесс, он начинает регистрировать все действия этого процесса и отправлять данные в облако для анализа. Если процесс окажется вредоносным, Webroot откатит все, что он сделал, даже откатит активность программ-вымогателей. ZoneAlarm и RansomBuster имеют свои собственные методы восстановления файлов. Когда компонент Acronis True Image для защиты от программ-вымогателей предотвращает атаку программ-вымогателей, он может при необходимости восстановить зашифрованные файлы из собственной защищенной резервной копии.

Теперь победитель

CyberSight RansomStopper обнаружил и заблокировал все мои реальные образцы программ-вымогателей без потери файлов. Он также обнаружил мой простой симулятор вымогателей, созданный вручную. И он заблокировал атаку Пети, из-за которой несколько конкурирующих продуктов вышли из строя.

Ранее RansomStopper обнаруживал уязвимость для программ-вымогателей, которая запускается только во время загрузки, но мои источники говорят, что этот тип атаки становится все реже, и CyberSight с тех пор устранила эту проблему. У других бесплатных продуктов были свои проблемы. RansomFree пропустил один реальный образец, а Malwarebytes позволил другому образцу необратимо зашифровать несколько файлов до того, как его обнаружение началось. RansomBuster оказался хуже, полностью пропустив половину образцов (хотя его компонент Folder Shield защищал большинство файлов).

RansomStopper и Check Point ZoneAlarm Anti-Ransomware - наши лучшие решения для специальной защиты от программ-вымогателей. ZoneAlarm не бесплатен, но за 2,99 доллара в месяц это не так уж и дорого. Тем не менее, RansomStopper обеспечивает полную защиту бесплатно.

Разработчик машинного обучения из Иерусалима, Арканзас, США

Портфолио

  • Palo Alto Networks

Опыт

  • SQL 9 лет
  • Python 9 лет
  • Машинное обучение 7 лет
  • Керас 7 лет
  • Scikit-learn 7 лет
  • Data Science 7 лет
  • Р 3 года
  • Анализ вредоносного ПО 3 года

Местоположение

Доступность

Предпочтительная среда

Самое потрясающее.

Работа

Специалист по данным

  • Завершены исследования и разработки системы машинного обучения нового поколения для защиты от вредоносных программ для производственной системы WildFire (> 30 000 корпоративных пользователей).
  • Инициировал, исследовал и разработал систему машинного обучения для обнаружения вредоносных сценариев PowerShell.
  • Участвовал в исследованиях и разработках интерфейса NLP на основе искусственного интеллекта для системы управления сетевой безопасностью Panorama.

Специалист по данным

  • Завершены исследования и разработки решения для защиты от программ-вымогателей на основе машинного обучения в небольшом стартапе.
  • Выиграл 10 лучших средств защиты от программ-вымогателей 2018 года по версии "Выбор редакции" (журнал PC).
  • Разработаны функции машинного обучения для решения по борьбе с программами-вымогателями.
  • Выполнял бизнес-аналитику с помощью Splunk.

Инженер по машинному обучению

  • Реализован онлайн-решатель частично наблюдаемого марковского процесса принятия решений (POMDP) ​​для персонализированного обучения.
  • Реализовано решение для индивидуального обучения с обратным подкреплением.
  • Создал математическое моделирование распространения инфекционных заболеваний для Университета Тафтса.

Руководитель группы

  • Руководил командой из четырех человек по реализации алгоритма оценки плотности ядра (KDE) для прогнозирования преступлений. Продукт был использован LAPD в районе Топанга для предотвращения краж со взломом автомобилей.

Опыт

Я разработал продукт RansomStopper от идеи до выхода на рынок, включая его возможности машинного обучения. Существует две версии: потребительская и корпоративная. Вот что журнал PC Magazine сказал о потребительской версии:

«CyberSight RansomStopper предлагает бесплатную специализированную защиту от программ-вымогателей и теперь обрабатывает программы-вымогатели, которые запускаются при запуске Windows. Это победитель и бесплатно». - Нил Дж. Рубенкинг (обозреватель журнала PC Magazine) 21 июня 2018 г.

Оценка редакции: 4,5 / 5, отлично

Пособие для практикующих машинное обучение в области кибербезопасности, созданное совместно с издателем Packt.

Самое актуальное, передовое и практическое руководство по применению машинного обучения и науки о данных для обеспечения безопасности!

1. Интеллектуальные методы обнаружения и уклонения от вредоносных программ с использованием машинного обучения, глубокого обучения для обнаружения угроз нулевого дня, преодоления обфускации / упаковки, автоматизации анализа вредоносных программ.

2. Социальная инженерия с использованием ML, включая олицетворение голоса, Deepfake, создание фейковых отзывов и * фишинг на стероиды * через ML.

3. Тестирование на проникновение нового поколения, включая фаззинг на основе NN, Metasploit сделал ОПАСНЫМ с помощью агента RL, обнаружение уязвимостей программного обеспечения с помощью ИИ и деанонимизацию Tor!

4. Улучшенное обнаружение вторжений с помощью ИИ, включая обнаружение внутренних угроз, обнаружение сетевых аномалий, обнаружение DDoS-атак и финансового мошенничества.

5. Защита и атака данных с помощью машинного обучения, включая глубокое обучение для взлома паролей (#scary), стеганализ с помощью ИИ, атаки машинного обучения на оборудование и шифрование с помощью сетевых сетей.

6. Безопасный и частный ИИ для сохранения конфиденциальности и конфиденциальности клиентов, включая федеративное обучение, дифференцированную конфиденциальность и даже противодействие.

Я разработал схему обучения "Машинное обучение для Red Team" в сотрудничестве с InfoSec Institute.

Всем известно, что ИИ и машинное обучение - это будущее тестирования на проникновение. Крупные предприятия, занимающиеся кибербезопасностью, говорят о хакерах, автоматизирующих и улучшающих свои инструменты; Газеты сообщают о киберпреступниках, использующих технологию передачи голоса, чтобы выдавать себя за руководителей; СМИ предупреждают нас о последствиях DeepFakes для политики и не только.

Этот курс, наконец, научит вас действовать и защищаться от всего этого.

Этот курс научит вас на практике и на практике, как использовать машинное обучение для выполнения атак с тестированием на проникновение и как выполнять атаки с тестированием на проникновение в системах машинного обучения.

Вы узнаете • Как повысить эффективность фаззинга уязвимостей с помощью машинного обучения. • Как обойти классификаторы вредоносных программ машинного обучения. • Как проводить состязательные атаки на коммерчески доступное машинное обучение как сервисную модель. • Как обойти CAPTCHA с помощью машинного обучения. • Как создавать глубокие подделки. • Как отравить, взломать и украсть модели машинного обучения.

И вы закрепите свои новые блестящие навыки, выполняя забавные практические задания.

Хотелось бы, чтобы этот курс был для всех, но, к сожалению, это не так. Вам следует зарегистрироваться, только если вы действительно увлечены компьютерной безопасностью и хотите быть лучшими в том, что вы делаете. Этот курс бросит вам вызов и познакомит с новыми идеями. Он предложит вам забавные практические задания, которые потребуют от вас обхода проблем с CAPTCHA, грязных рук и модификации вредоносных программ, фазирования секретно уязвимой программы, использования коммерчески доступного машинного обучения как услуги и создания реалистичного поддельного видео. Если вам это интересно, нажмите кнопку регистрации, чтобы начать!

Videos about this topic

Алексей Ролич \"Интернет вещей\: промышленный, профессиональный, наш@
Введение в Data Science и Machine Learning
CatBoost — новый метод машинного обучения от Яндекса
С чего лучше начать изучения машинного обучения и программирования ИИ
ML\: python и его библиотеки для работы с машинным обучением
15 ПРАВИЛ ОТЛИЧНИКА// Как начать учиться?!