CryptoMonitor (EasySync) - program anty-ransomware
#1
CryptoMonitor to nowe narzędzie do walki z ransomware czyli szkodnikami żądającymi okupu za odblokowanie dostępu do przejętych plików. Ten rodzaj malware jest coraz bardziej powszechny i coraz bardziej wyrafinowany, tym samym coraz trudniej z nim walczyć...czy ten akurat program da radę rzeczywiście - czas pokaże.

Podstawową rolą CyryptoMonitora jest wykrywanie i informowanie o wykrytej infekcji, zabijanie jej procesów, wpisywanie ich na czarna listę i uniemożliwienie uruchomienia w przyszłości. Program nie korzysta z definicji/sygnatur, dzięki czemu może skuteczniej (jak zakłada producent) walczyć ze szkodnikami nieopisanymi, co tu akurat jest istotne, a bazuje na dwóch głównych mechanizmach:
Entrapment Protection - ochrona poprzez "uwięzienie" to technologia podstawowa dostępna w wersji darmowej i płatnej CM, a polega na zastawieniu w pewnych określonych lokalizacji systemu programowych "pułapek", w które ransomware ingerują. Miejsca te są stale monitorowane przez program za pomocą częstych szyfrowanych impulsów, a jeśli natrafią na ingerencję szkodnika ich zwrotny obraz cyfrowy się zmienia, co powoduje automatyczne natychmiastowy komunikat i zablokowanie maszyny w oczekiwaniu na podjęcie decyzji. Ten mechanizm przypomina nieco działanie HIPS i faktycznie jest interesującym, choć nie wiadomo jak skutecznym rozwiązaniem.
Count Protection - ochrona ta dostępna jest tylko w wersji płatnej, a jest to wg opisu producenta niezwykle wrażliwy silnik heurystyczny, który skanuje w tle wszystkie uruchamiane procesy w celu ustanowienia im reputacji (zaufany-nieznany-podejrzany) oraz kontroluje wszystkie nieznane procesy, które próbują modyfikować prywatne pliki użytkownika określoną ilość razy w określonym czasie - proces który spełni te kryteria jest zgłaszany użytkownikowi do podjęcia decyzji.

Poniżej porównawcza lista możliwości wersji darmowej i płatnej

[Aby zobaczyć linki, zarejestruj się tutaj]

Cytat:Additional PRO only features:

- LockDown Mode (Keeps any processes from making changes to files if CryptoMonitor could not remove the threat, until a professional can remove it.)
- Ability to kill and block injected malicious code in legitimate processes.
- Blocks file modification until you make a decision on if the process is a threat or not.
- Ability to remove the threat after CryptoMonitor has killed it.
- Count Protection (Double protection from Ransomware by monitoring how many files are modified.)
- Ability to send Text Alerts when an infection flag is found.
- Check processes for malicious code injection.

Kilka screenów ze strony programu

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


Strona programu

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Wątki z opisem oraz dyskusją o programie

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Troszkę słabo pisać apki do ochrony przed jednym typem zagrożenia. Na Cryptolockery jedna apka, na ransomy druga.
Odpowiedz
#3
I aż w końcu ich będzie 100, i w tedy będzie ciekawie.
Cóż dziwne, to jest, ale nic na to człowiek nie poradzi.
Odpowiedz
#4
@Gienio popieram. Pewnie zainwestują w to co najwyżej jakieś bardzo zainteresowane firmy, po czym któryś potentat wykupi produkt i się skończy, zintegruje ze swoim IS i tyle...
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#5
Takich dedykowanych aplikacji jest całe mnóstwo przecież i to od wielu lat...nie rozumiem Waszych zastrzeżeń Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#6
Powyżej pewnej granicy staje się to nieopłacalne... okej, można skonfigurować kilka programów, ale żeby się z tego ''dziesiąt nie zrobiło Tongue
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#7
ichito napisał(a):Takich dedykowanych aplikacji jest całe mnóstwo przecież i to od wielu lat...nie rozumiem Waszych zastrzeżeń Smile
No tak, ale kiedyś wszystko zamykało się w ramach wirus - antywirus. Teraz "antywirus" to historyczna nazwa i powinna leżeć zakurzona na półce. Jeśli już przyjmiemy, że anti-malware jest w stanie wykrywać i wirusy i robaki, to niekoniecznie dobrze radzi sobie z nowymi kategoriami zagrożeń, bo ileż programów zabezpieczających ugięło się przed zaszyfrowaniem zawartości dysku? Chyba sporo ich będzie Smile Może szybkość i wygoda tworzenia dedykowanego narzędzia niewymagającego kompatybilności z oprogramowaniem-matką (jako moduł) jest większa, przez co powstają rozwiązania dopasowane do zwiększającej się ilości nowych zagrożeń, a dopiero później w mniejszym lub większym stopniu dzieje się to, co napisał M''cin:

M''cin napisał(a):[...]po czym któryś potentat wykupi produkt i się skończy, zintegruje ze swoim IS i tyle...

Takie tylko rozmyślania... przy grypie, antybiotykach i temperaturze Smile
SpyShelter Firewall
Odpowiedz
#8
A czy przypadkiem grypa nie jest wirusowa, a antybiotykiem leczy się choroby bakteryjne? Tongue
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#9
M''cin napisał(a):A czy przypadkiem grypa nie jest wirusowa, a antybiotykiem leczy się choroby bakteryjne? Tongue
To dlatego, że mam jakąś infekcje między nosem, a gardłem, więc grypę traktuję jako gorący bonus Smile
SpyShelter Firewall
Odpowiedz
#10
Nie chcę być obrońcą programu, bo zwyczajnie nie znam go i jego możliwości, niemniej narzędzie to wydaje się dość zaawansowane i nie jest tylko szczepionką antywirusową. Ransomów jest coraz więcej, bo to intratny biznes...biznesem więc jest też ich zwalczanie Smile Na marginesie...mówiąc o małych dedykowanych programach miałem na myśli również takie jak ExeWatch, DropMyRights, Seconfig, monitory połączeń i dziesiątki innych...to darmowe rozwiązania i trudno powiedzieć, że są "przeciw czemuś"...ich rola jest czasem podstawowa, a czasem uzupełniająca...ale wciąż są bardzo przydatne.
---------------------
edit:
Uwaga jeszcze do tematu...ransomware nie jest jednolitym oprogramowaniem i trudno oprzeć się na jednym mechanizmie obronnym, dlatego przydatne mogą być wskazówki z tej infografiki

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


choć, jak widać z tej kolejnej, praktyka wskazuje, że 82% po prostu kasuje dane z dysku, a raptem 10-20% robi coś więcej

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]


a według tej efektywność filtrowania spamu spadła z 88% do 64%, zaufanie do rozwiązań typu "endpoint" spadło z 96% do 59%, 72% ankietowanych uważa metody zabezpieczeń za cokolwiek efektywne i aż 88% ankietowanych uważa, że szkolenia podnoszące świadomość użytkowników są skuteczniejsze od backupu danych (81%)

[Obrazek: InfoGraphic-sm.jpg]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#11
NaBleepingComputer.com opublikowano informację o wersji 2.0.0.0, w której wprowadzono sporo i to dużych zmian
Cytat:This was a very large update, that has had a over haul done in almost every area of the application. Ui changes, a new driver, bug fixes, and added features. So please report any errors you may have here if any. I hope you all enjoy!

- You can no longer open 2 instances of CryptoMonitor and get a error. The application will now focus the already running instance when attempted to launch again.

- Having a lot of requests from businesses that they need a more automated way to add to whitelists, CryptoMonitor will now look for a WL.ini on its first run, and import any File Paths in this file to the WhiteList. Please format each file path per line.

-A new driver is now used, which will open up huge possibilities in the future, and has even opened up some now. The application now takes 20% less CPU at any given time. The highest we have gotten it to go on bench-marking tests is 5%. This means all you gamers, and network admins no longer have to worry Smile

-CryptoMonitor now bypasses UAC on startup and will immediately start protecting you right away every reboot!

-UI changes have been made to make the application more light weight, and faster, but also keeping its "easy on the eyes" design Wink

-CryptoMonitors "LockDown Mode" will no longer lock down the whole PC and every process when the offending process cannot be killed or removed. It will now only "Lock Down" the offending processes privileges to everything, making it a sitting target, easy for manual remove or by a Anti-Virus. This now means that because only the process is locked down, you may run any application of your choice to help you remove the infection when CryptoMonitor can''t.

-In "LockDown Mode" CryptoMonitor will have easily accessible links to Free AV''s like Emsisoft and MBAM to help you remove the infection while in "Lock Down Mode".

- Added popular UK Phone Carriers to our Text Alerts Feature.

-Fixed a bug that caused the driver to fail on start.

-Fixed a bug that caused CryptoMonitor to not start on Startup.
Cytat:New Feature - Secure Vault:
Secure Vault holds true to its name. CryptoMonitor will create a directory on your machine which will become the "Secure Vault". Nothing can access this Directory in anyway except for CryptoMonitor, and any other processes that you allow to have access to it. You may place or remove files in Secure Vault through CryptoMonitor and rest in peace knowing anything in that folder can never be touched in anyway except by you through CryptoMonitor. You can place Family Photos, Documents, videos, music, Backups and more in your Secure Vault, and always have a plan b.

Up coming Requests/Features:

-EasySyncSolutions.com will have a business page that will explain the details of Reselling Licenses, Purchasing Bulk Licenses, and MSP licenses, in the next few days. Until this is up if you have any questions, please email me at <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e --> for a email template of the prices/plans or more information.

-A silent install MSI so businesses can deploy easier to networks.

- A server edition of CryptoMonitor that will host a lot of features to protect a whole network from one server.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#12
Producent poinformował, że w związku z nadchodzącą kolejną wersją programu, która została poważnie przebudowana, obecna wersja Pro czyli płatna jest dostępna czasowo jako darmowa. Mamy więc do dyspozycji wszystkie mechanizmy obronne programu...wykaz poniżej na porównaniu z wersją darmową

[Aby zobaczyć linki, zarejestruj się tutaj]



Cytat:[b]CryptoMonitor Pro is now temporarily free - [/b]
A completely new version of CryptoMonitor will be available soon in the future, and because of this, the current version of CryptoMonitor is now free until this version is released. If you have any questions comments of concerns, please contact us through our "Contact" page.

Users who have already purchased a CryptoMonitor Pro license will recieve a license for the new application once released.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#13
"Czasowo jako darmowa" znaczy, że zainstalowana wersja przestanie działać po wprowadzeniu nowej? Taki trial na X dni, czy jak producent to rozwiązuje? Będę wdzięczny za informację.
SpyShelter Firewall
Odpowiedz
#14
(02.07.2015, 10:40)nikita napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

"Czasowo jako darmowa" znaczy, że zainstalowana wersja przestanie działać po wprowadzeniu nowej? Taki trial na X dni, czy jak producent to rozwiązuje? Będę wdzięczny za informację.

To nie jest oficjalna odpowiedź...może ją dostaniemy wkrótce...podkreślenie moje
Cytat:I think free means it will be a free download until the new version is made available.

The Free Pro won't be deactivated but for people who want the new version, those features would be would worth paying for and for users who already have bought a license, they'll be transferred to the new version once it is out.


[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#15
Jest odpowiedź przedstawiciela programu - obecna wersja Pro będzie działać tylko kilka miesięcy (nie określono ile) po wydaniu nowej


Cytat:This means that when the new application is released and a few months have past , the current CryptoMonitor will expire and cease to function.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#16
Wreszcie wyjaśniła się sprawa zastoju w rozwoju programu i uwolnienia programu jako "free". Wczoraj na blogu Malwarebytes opublikowano informację, że przejęli EasySync wraz z rozwiązaniami stosowanymi w CryptoMonitor

Cytat:Our answer started with a company named EasySync Solutions, owned by Nathan Scott, which created an application called CryptoMonitor.
CryptoMonitor was doing an excellent job of stopping ransomware at that time, but having a few ideas of our own, we acquired EasySync Solutions and hired Nathan to come work on stopping ransomware for us. Nathan has been leading the anti-ransomware technology development at Malwarebytes for the last few months.
Now I’m stoked to announce that after months of late nights and a few hundred gallons of Red Bull, Malwarebytes Anti-Ransomware is ready for beta testing.

Hmm...tak na marginesie...to kolejny po

[Aby zobaczyć linki, zarejestruj się tutaj]

program przejęty przez MBAM...biorą co chcą? Sad
Kontynuacja

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#17
Powinni go scalić aby wzmocnić ochronę w MBAE tak jak ma to HMPA, no ale po co skoro można dać standalone i opychać nowy produkt...
Odpowiedz
#18
Nie ma sensu sie rozrabniać 2 programy do gruntownego monitoringu procesów i restrykcji wystarczą <3
Polecam kombinacje 3 królów SSFW NVTERP oraz AppGuard...

Buli zgadza się w cale by mnie nie zdziwiło jak by miał funkcje poprzednika tylko skoro wychodzi nowy odświeżony projekt czemu nadal sprzedają stary...
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#19
Panowie...ale przeniosę dyskusję do wątku o następcy CM Smile

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości