Examen de CyberSight RansomStopper

L'essentiel

CyberSight RansomStopper offre une protection gratuite et dédiée contre les ransomwares et gère désormais les ransomwares qui se lancent au démarrage de Windows. C'est un gagnant et gratuit.

  • Retour en haut
  • Premiers pas
  • Protection contre les ransomwares
  • Attention, Ransomware en direct
  • Danger au démarrage résolu
  • Autres techniques
  • Maintenant un gagnant

Détection et blocage de tous les échantillons de ransomwares réels, y compris les échantillons lancés au démarrage.

Ne permet pas le chiffrement des fichiers.

L'installation n'est terminée qu'après le redémarrage.

Votre antivirus ou votre suite de sécurité doit vraiment vous protéger contre les ransomwares, ainsi que tous les autres types de logiciels malveillants. Il peut y avoir une erreur occasionnelle avec une attaque jamais vue auparavant, mais ces inconnues deviennent rapidement connues. Malheureusement, la suppression ex post facto des ransomwares laisse toujours vos fichiers cryptés. C'est pourquoi vous voudrez peut-être ajouter un utilitaire de protection contre les ransomwares à votre arsenal. Le logiciel gratuit CyberSight RansomStopper a arrêté les ransomwares du monde réel lors des tests, et la dernière mise à jour gère les ransomwares qui ne s'exécutent qu'au démarrage.

RansomStopper est assez similaire à Cybereason RansomFree, Trend Micro RansomBuster et Malwarebytes Anti-Ransomware Beta. Tous les quatre sont gratuits et détectent tous les ransomwares en fonction de leur comportement. Puisqu'ils reposent sur le comportement, peu importe que le ransomware soit une ancienne quantité connue ou une attaque zero-day qui vient d'être créée. Comme RansomFree, RansomStopper utilise des fichiers d'appâts dans le cadre de sa méthodologie de détection. Cependant, RansomStopper cache ses fichiers d'appât à l'utilisateur.

Premiers pas

L'installation s'est déroulée rapidement lors de mes tests. Après le téléchargement, j'ai terminé le processus en saisissant mon prénom, mon nom et mon adresse e-mail. Une fois que j'ai répondu à l'e-mail de confirmation, le produit était opérationnel. Contrairement à ZoneAlarm Anti-Ransomware et à d'autres, il a fallu un redémarrage pour être pleinement opérationnel.

La fenêtre principale simple du produit indique que "Vous êtes protégé contre les ransomwares". Les boutons en bas vous permettent d'afficher les alertes de sécurité, les processus que RansomStop a bloqués et les processus que vous avez choisi d'autoriser. Un autre bouton vous permet de vérifier les mises à jour, si vous n'avez pas sélectionné les mises à jour automatiques lors de l'installation. Simple!

Produits similaires

Check Point ZoneAlarm Anti-Ransomware

Cybereason RansomFree

Malwarebytes Anti-Ransomware Beta

Trend Micro RansomBuster

Bitdefender Anti-Ransomware

CryptoPrevent Premium 8

CryptoDrop Anti-Ransomware

Protection Acronis Ransomware

CyberSight propose également une édition professionnelle. Les fonctionnalités ajoutées incluent des alertes par e-mail, une administration centralisée et des rapports détaillés. L'édition professionnelle coûte 29,99 $ pour une seule licence, bien que le prix tombe à 10 $ par siège avec une licence en volume.

Protection contre les ransomwares

Lorsque RansomStopper détecte une attaque de ransomware, il met fin au processus incriminé et affiche un avertissement dans la zone de notification. Cliquez sur l'avertissement pour voir quel fichier a causé le problème. Il existe une option pour supprimer les programmes de la liste des processus bloqués, ainsi qu'un avertissement indiquant que cela est une mauvaise idée.

Attendre la détection d'un comportement de ransomware peut parfois signifier que le ransomware crypte quelques fichiers avant la résiliation. Lorsque j'ai testé Malwarebytes, il a perdu quelques fichiers de cette façon. Check Point ZoneAlarm Anti-Ransomware (39,95 $ facturés annuellement chez ZoneAlarm) récupère activement tous les fichiers cryptés. Lors de mes tests, il l'a fait pour chaque échantillon de ransomware. Cependant, RansomStopper a arrêté les mêmes échantillons sans autoriser le chiffrement d'aucun fichier.

Pour une vérification rapide de la cohérence, j'ai lancé un simple faux programme de ransomware que j'ai écrit moi-même. Il ne fait que rechercher des fichiers texte dans et sous le dossier Documents et les crypter. Il utilise un chiffrement simple et réversible, donc une deuxième exécution restaure les fichiers. RansomStopper l'a attrapé et a empêché sa chicane. Jusqu'ici tout va bien.

Attention, Ransomware en direct

Le seul moyen sûr de tester la protection contre les ransomwares basée sur le comportement consiste à utiliser des ransomwares en direct. Je fais cela très prudemment, en isolant mon système de test de machine virtuelle de tous les dossiers partagés et d'Internet.

Ce test peut être angoissant si le produit anti-ransomware échoue à sa détection, mais mon test RansomStopper s'est bien déroulé. Comme ZoneAlarm et Malwarebytes, RansomStopper a capturé tous les échantillons, et je n'ai trouvé aucun fichier chiffré avant le début de la détection comportementale. Cybereason RansomFree a plutôt bien fonctionné, mais il en a manqué un.

Je teste également en utilisant RanSim de KnowBe4, un utilitaire qui simule 10 types d'attaques de ransomware. La réussite de ce test est une information utile, mais l'échec peut simplement signifier que la détection basée sur le comportement a correctement déterminé que les simulations ne sont pas de véritables ransomwares. Comme RansomFree, RansomStopper a ignoré les simulations.

Danger au démarrage résolu

Rester sous le radar est un gros problème pour les ransomwares. Lorsque cela est possible, il fait ses sales actes en silence, ne présentant sa demande de rançon qu'après avoir chiffré vos fichiers. Avoir des privilèges d'administrateur facilite le travail des ransomwares, mais pour y parvenir, il faut généralement l'autorisation de l'utilisateur. Il existe des solutions de contournement pour obtenir ces privilèges en silence. Celles-ci incluent la possibilité de se greffer sur le processus Winlogon au moment du démarrage ou de définir une tâche planifiée pour le démarrage. En règle générale, le ransomware s'arrange simplement pour se lancer au démarrage, puis force un redémarrage, sans effectuer aucune tâche de chiffrement.

Lors de mes tests précédents, j'ai découvert que les ransomwares pouvaient crypter les fichiers au moment du démarrage avant que RansomStopper ne démarre. Mon propre faux programme de cryptage a réussi cet exploit. Il a crypté tous les fichiers texte dans et sous le dossier Documents, y compris les fichiers texte d'appât de RansomStopper. (Oui, ces fichiers sont dans un dossier que RansomStopper cache activement, mais j'ai mes méthodes…) Il a également manqué un exemple de ransomware réel que j'ai configuré pour lancer au démarrage.

Les concepteurs de CyberSight ont testé un certain nombre de solutions à ce problème et ont publié une nouvelle version qui devance les ransomwares au démarrage. Je l'ai testé; cela fonctionne, supprimant la seule tache sur les résultats des tests de RansomStopper, désormais excellents.

RansomFree fonctionne en tant que service, il est donc actif avant tout processus régulier. Lorsque j'ai effectué le même test, en définissant un échantillon de ransomware réel à lancer au démarrage, RansomFree l'a également détecté. Malwarebytes a également réussi ce test. RansomBuster a détecté l'attaque au démarrage et a récupéré les fichiers affectés.

Pour approfondir ce problème, j'ai obtenu un échantillon du ransomware Petya qui a causé des problèmes plus tôt cette année. Cette contrainte particulière bloque le système et simule ensuite la réparation au démarrage par CHKDSK. Ce qu'il fait en réalité, c'est crypter votre disque dur. Malwarebytes, RansomFree et RansomBuster n'ont pas réussi à empêcher cette attaque. RansomStopper l'a attrapé avant qu'il ne puisse causer le crash du système - impressionnant! ZoneAlarm a également empêché l'attaque de Petya. Pour être juste envers les autres, celui-ci n'est pas un ransomware de cryptage de fichiers typique. Au contraire, il verrouille l'ensemble du système en chiffrant le disque dur.

En interrogeant mes contacts, j'ai appris que les attaques de ransomwares au démarrage, y compris Petya, sont de moins en moins courantes. Malgré tout, j'ai ajouté ce test à mon répertoire.

Autres techniques

La détection basée sur le comportement, lorsqu'elle est correctement mise en œuvre, est un excellent moyen de lutter contre les ransomwares. Cependant, ce n'est pas le seul moyen. Trend Micro RansomBuster et Bitdefender Antivirus Plus font partie de ceux qui déjouent les ransomwares en contrôlant l'accès aux fichiers. Ils empêchent les programmes non approuvés d'apporter des modifications aux fichiers dans des dossiers protégés. Si un programme non approuvé tente de modifier vos fichiers, vous recevez une notification. En règle générale, vous avez la possibilité d'ajouter le programme inconnu à la liste de confiance. Cela peut être pratique si le programme bloqué était votre nouvel éditeur de texte ou de photo. Panda Internet Security va encore plus loin, empêchant les programmes non approuvés de lire même les données des fichiers protégés.

Les escrocs de ransomware doivent veiller à pouvoir déchiffrer les fichiers lorsque la victime paiera. Le chiffrement des fichiers plus d'une fois peut interférer avec la récupération, la plupart incluent donc un marqueur quelconque pour empêcher une deuxième attaque. Bitdefender Anti-Ransomware utilise cette technique pour tromper des familles de ransomwares spécifiques en leur faisant croire qu'elles vous ont déjà attaqué. Notez, cependant, que cette technique ne peut rien faire avec les nouveaux types de ransomwares.

Lorsque Webroot SecureAnywhere AntiVirus rencontre un processus inconnu, il commence à journaliser toutes les activités de ce processus et à envoyer des données au cloud pour analyse. Si le processus s'avère être un malware, Webroot annule tout ce qu'il a fait, même en annulant l'activité du ransomware. ZoneAlarm et RansomBuster ont leurs propres méthodes de récupération de fichiers. Lorsque le composant anti-ransomware d'Acronis True Image tue une attaque de ransomware, il peut restaurer des fichiers cryptés à partir de sa propre sauvegarde sécurisée si nécessaire.

Maintenant un gagnant

CyberSight RansomStopper a détecté et bloqué tous mes échantillons de ransomwares réels sans perdre aucun fichier. Il a également détecté mon simple simulateur de ransomware codé à la main. Et il a bloqué une attaque de Petya, où plusieurs produits concurrents ont échoué.

Auparavant, RansomStopper présentait une vulnérabilité aux ransomwares qui ne fonctionnait qu'au démarrage, mais mes sources disent que ce type d'attaque est de moins en moins courant, et CyberSight a depuis résolu ce problème. D'autres produits gratuits avaient leurs propres problèmes. RansomFree a manqué un échantillon du monde réel, et Malwarebytes a laissé un autre échantillon crypter de manière irréversible quelques fichiers avant que sa détection ne démarre. RansomBuster a fait pire, manquant complètement la moitié des échantillons (bien que son composant Folder Shield protège la plupart des fichiers).

RansomStopper et Check Point ZoneAlarm Anti-Ransomware sont nos meilleurs choix pour une protection dédiée contre les ransomwares. ZoneAlarm n'est pas gratuit, mais à 2,99 $ par mois, ce n'est pas trop cher. Pourtant, RansomStopper gère une protection complète sans frais.

Développeur d'apprentissage automatique à Jérusalem, AR, États-Unis

Portfolio

  • Palo Alto Networks

Expérience

  • SQL 9 ans
  • Python 9 ans
  • Machine Learning 7 ans
  • Keras 7 ans
  • Scikit-learn 7 ans
  • Data Science 7 ans
  • R 3 ans
  • Analyse des logiciels malveillants 3 ans

Emplacement

Disponibilité

Environnement préféré

Le plus étonnant.

Emploi

Data Scientist

  • R & D achevée du système anti-malware d'apprentissage automatique de nouvelle génération pour le système de production WildFire (> 30 000 utilisateurs en entreprise).
  • Lancement, recherche et développement d'un système d'apprentissage automatique pour la détection de scripts PowerShell malveillants.
  • Contribution à la R&D pour une interface NLP basée sur l'IA pour le système de gestion de la sécurité du réseau Panorama.

Data Scientist

  • R & D achevée d'une solution anti-ransomware basée sur l'apprentissage automatique dans une petite startup
  • A remporté le Top 10 des meilleures protections contre les ransomwares de 2018, Editor’s Choice (PC Magazine).
  • Développement de fonctionnalités d'apprentissage automatique pour une solution anti-ransomware.
  • Analyse commerciale effectuée à l'aide de Splunk.

Ingénieur en apprentissage automatique

  • Implémentation en ligne d'un solveur de processus de décision Markov partiellement observable (POMDP) ​​pour un apprentissage personnalisé.
  • Implémentation d'une solution d'apprentissage par renforcement inverse pour un apprentissage personnalisé.
  • Création de modèles mathématiques pour la simulation de la propagation des maladies infectieuses pour l'Université Tufts.

Chef d'équipe

  • A dirigé une équipe de quatre personnes dans la mise en œuvre de l'algorithme d'estimation de la densité du noyau (KDE) pour la prédiction de la criminalité. Le produit a été utilisé par LAPD dans le district de Topanga pour la prévention des cambriolages de véhicules à moteur.

Expérience

J'ai développé le produit RansomStopper de la conception au marché, y compris ses capacités d'apprentissage automatique. Il existe deux versions, une version grand public et une version entreprise. Voici ce que PC Magazine avait à dire à propos de la version grand public:

"CyberSight RansomStopper offre une protection gratuite et dédiée contre les ransomwares et gère désormais les ransomwares qui se lancent au démarrage de Windows. C'est un gagnant, et c'est gratuit." - Neil J.Rubenking (critique de produit PC Magazine) 21 juin 2018

Note de la rédaction: 4,5 / 5, excellent

Un manuel pour les praticiens de l'apprentissage automatique dans le domaine de la cybersécurité, rédigé avec l'éditeur Packt.

Le guide le plus pratique et le plus à jour pour appliquer la science des données / ML à la sécurité!

1. Techniques intelligentes de détection et d'évasion des malwares utilisant le ML, apprentissage en profondeur pour détecter les menaces zero-day, surmonter l'obfuscation / empaquetage, automatiser l'analyse des malwares.

2. Ingénierie sociale utilisant le ML, y compris l'usurpation d'identité vocale, Deepfake et la génération de faux avis et * phishing sous stéroïdes * via ML.

3. Pentesting nouvelle génération, y compris le fuzzing basé sur NN, Metasploit a rendu DANGEREUX avec un agent RL, une détection de vulnérabilité logicielle avec AI et un désanonymisation de Tor!

4. Détection d'intrusion améliorée avec l'IA, y compris la détection des menaces internes, la détection des anomalies du réseau, la détection des attaques DDoS et la fraude financière.

5. Sécuriser et attaquer les données avec le ML, y compris le Deep Learning pour le craquage de mots de passe (#scary), la stéganalyse via l'IA, les attaques de ML sur le matériel et le chiffrement avec les NN.

6. Une IA sécurisée et privée pour préserver la confidentialité et la confidentialité des clients, y compris l'apprentissage fédéré, la confidentialité différentielle et même la robustesse antagoniste.

J'ai développé le parcours d'apprentissage Machine Learning pour Red Team en collaboration avec l'Institut InfoSec.

Tout le monde sait que l'intelligence artificielle et l'apprentissage automatique sont l'avenir des tests d'intrusion. Les grandes entreprises de cybersécurité parlent de pirates informatiques qui automatisent et améliorent leurs outils; Les journaux rapportent que les cybercriminels utilisent la technologie de transfert de voix pour se faire passer pour des PDG; Les médias nous mettent en garde contre les implications de DeepFakes en politique et au-delà.

Ce cours vous apprend enfin comment faire et vous défendre contre toutes ces choses.

Ce cours vous apprendra, de manière pratique et pratique, comment utiliser l'apprentissage automatique pour effectuer des attaques de test de pénétration et comment effectuer des attaques de test de pénétration sur des systèmes d'apprentissage automatique.

Vous apprendrez • Comment surcharger votre fuzzing de vulnérabilité en utilisant l'apprentissage automatique. • Comment échapper aux classificateurs de logiciels malveillants d'apprentissage automatique. • Comment effectuer des attaques contradictoires sur l'apprentissage automatique disponible dans le commerce en tant que modèle de service. • Comment contourner les CAPTCHA à l'aide de l'apprentissage automatique. • Comment créer des faux profonds. • Comment empoisonner, détourner et voler des modèles d'apprentissage automatique.

Et vous solidifierez vos nouvelles compétences dans des missions pratiques amusantes.

J'aurais aimé que ce cours s'adresse à tout le monde, mais malheureusement, ce n'est tout simplement pas le cas. Vous ne devriez vous inscrire que si vous êtes vraiment passionné par la sécurité informatique et que vous voulez être le meilleur dans ce que vous faites. Ce cours vous mettra au défi et vous présentera de nouvelles idées. Il vous proposera des missions pratiques amusantes qui vous obligeront à contourner les défis CAPTCHA, à vous salir les mains et à modifier les logiciels malveillants, à faire flotter un programme secrètement vulnérable, à tromper un service d'apprentissage automatique disponible dans le commerce et à créer une fausse vidéo réaliste. Si cela vous semble passionnant, cliquez sur le bouton d'inscription pour commencer!

Videos about this topic

The Hacking Project - Mon avis sur les formations \"bootcamp\" pour apprendre à coder
Un Machine Learning Engineer, c\'est quoi ?
Evolution of STRONGHOLD Games 2001-2020
LMS Seminar - October 19, 2020 - Dr Emmanuel Siéfert
Salon Alyah 22 novembre 2020 - Conférence \"Les aspects du marché du travail israélien\"
CRÉER SON INTELLIGENCE ARTIFICIELLE [IA]