Les conséquences de l'absence d'attaque de ransomware zero-day par un antivirus sont suffisamment calamiteuses pour que de nombreuses personnes et entreprises choisissent de compléter la protection antivirus standard avec une application de protection contre les ransomwares distincte.
Certaines de ces applications fonctionnent en empêchant les modifications non autorisées des dossiers protégés, tandis que d'autres appliquent une analyse comportementale pour détecter le cryptage des ransomwares.
NeuShield Data Sentinel ne fait aucune tentative pour détecter les ransomwares! Au lieu de cela, il se concentre sur l'annulation des effets d'une attaque de ransomware.
Il a fait du bon travail lors de nos tests, bien qu'il présente certaines limites.
Combien coûte NeuShield Data Sentinel?
À 23,99 $ par an, Data Sentinel est un peu cher.
Check Point ZoneAlarm Anti-Ransomware coûte 14,95 $ par an.
CryptoPrevent coûte presque le même prix, à 15 $ par an.
Vous pouvez obtenir trois licences Data Sentinel pour 59,99 $ par an, ou cinq pour 79,99 $.
À ce niveau de cinq licences, son prix par appareil est à peu près le même que les deux autres.
Trend Micro RansomBuster reste gratuit.
Le côté positif du paiement de la protection est que NeuShield ne disparaîtra probablement pas en raison d'un manque de revenus.
En outre, sa console de gestion en ligne substantielle justifie les frais d'abonnement annuels en cours.
La fenêtre principale de Data Sentinel est principalement blanche, avec des touches de gris et de bleu-vert.
Par défaut, il s'agit d'une page de présentation qui affiche ce que l'entreprise appelle la matrice de protection des données.
Cette page est plus une vitrine qu'autre chose, mais elle est attrayante.
Les points d'une matrice circulaire se déplacent en fonction de l'activité du disque, formant une grosse goutte verte qui change de forme.
Si Data Sentinel détecte une activité liée au ransomware du secteur de démarrage, la forme devient rouge pendant un moment.
C'est tout.
Trois éléments de menu sur les pages ouvertes de gauche consacrées à Anti-Ransomware, Anti-Wiperware et Mirror Shielding.
Cliquer sur NeuShield Explorer fait apparaître une vue spéciale de l'explorateur Windows que je vais expliquer en détail ci-dessous.
Un autre élément de menu ouvre votre compte NeuShield en ligne.
Cette revue couvre l'édition Home, celle qui convient le mieux aux consommateurs.
Une édition gratuite existe, mais elle manque de gestion à distance et de la fonction très importante de restauration en un clic.
Il existe également une édition Business, avec des fonctionnalités orientées métier telles que la protection du serveur et l'intégration avec le cadre de gestion Kaseya VSA.
Le quoi? Ouais, ce n'est pas pour le consommateur moyen.
Un champ en déclin
Il y a plusieurs années, vous pouviez choisir parmi une douzaine d'outils autonomes de protection contre les ransomwares proposés par des sociétés de sécurité grand public, et bon nombre de ces outils étaient gratuits.
La plupart d'entre eux ont disparu depuis, pour une raison ou une autre.
Par exemple, Acronis Ransomware Protection était autrefois un outil autonome gratuit, mais il n'apparaît plus que comme un composant du logiciel de sauvegarde de l'entreprise.
De même, Malwarebytes Anti-Ransomware n'existe désormais que dans le cadre de l'intégralité de Malwarebytes Premium.
Quant à Heilig Defense RansomOff, sa page Web dit simplement "RansomOff sera de retour à un moment donné."
En plus du monde de la sécurité grand public, quelques outils de protection contre les ransomwares proviennent de sociétés de sécurité d'entreprise qui ont décidé de rendre service au monde en offrant uniquement leur composant ransomware en guise de gratification pour les consommateurs.
Et bon nombre d'entre eux ont également été abandonnés, car les entreprises constatent que le produit gratuit consomme des ressources d'assistance.
Par exemple, CyberSight RansomStopper n'est plus avec nous, et Cybereason RansomFree a également été interrompu.
Bitdefender Anti-Ransomware a disparu pour une raison plus pratique.
Tant qu'il existait, il adoptait une approche inhabituelle.
Un attaquant de ransomware qui chiffrerait les mêmes fichiers deux fois risquerait de perdre la capacité de les déchiffrer, de sorte que de nombreux programmes de ce type laissent une sorte de marqueur pour éviter le double dipping.
Bitdefender émulerait les marqueurs pour de nombreux types de ransomwares bien connus, leur disant en fait, "Passez à autre chose! Vous avez déjà été ici!" Cette approche s'est avérée trop limitée pour être pratique.
CryptoDrop semble également avoir disparu.
Premiers pas avec Data Sentinel
Contrairement à tout autre produit de protection contre les ransomwares que j'ai vu, Data Sentinel comprend une console de gestion à distance.
Cela étant, il est logique que vous commenciez par vous inscrire à un compte en ligne.
Ensuite, vous achetez le produit, ou entrez une clé de licence et téléchargez le programme d'installation.
Le site Web génère un programme d'installation spécifique à votre compte, vous n'avez donc pas à vous connecter après l'installation rapide.
Une fois installé, il démarre la protection immédiatement.
Plus précisément, pour chaque utilisateur, il protège les fichiers de ces dossiers: Objets 3D, Contacts, Bureau, Documents, Musique, Images, Jeux enregistrés et Vidéos.
Cliquez sur Anti-Ransomware dans le menu pour afficher la liste des dossiers protégés.
Vous ne pouvez pas supprimer des dossiers de ce groupe initial, mais vous pouvez ajouter des dossiers personnalisés à la liste de protection.
Data Sentinel protège également les manifestations de dossiers locaux des services cloud populaires, si elles sont présentes.
Plus précisément, il protège Box, Dropbox, Google Drive, OneDrive et OneDrive Entreprise.
Cliquez sur Anti-Wiperware pour afficher la protection du secteur de démarrage de Data Sentinel.
Il détecte et tue les applications qui tentent de crypter ou de corrompre votre disque dur, ainsi que les applications qui tentent d'infecter le Master Boot Record.
Il n'y a aucun moyen d'annuler ces actions, c'est pourquoi Data Sentinel doit les empêcher de manière proactive.
Tu peut désactiver ces protections… mais pourquoi feriez-vous cela?
Blindage miroir
NeuShield appelle la fonctionnalité qui vous permet de récupérer des versions propres de vos fichiers Mirror Shielding.
Naturellement, ils n'entrent pas dans beaucoup de détails sur la manière précise dont cela fonctionne.
Bien que vous ne puissiez pas désactiver cette fonctionnalité, elle dispose d'une page dédiée dans la fenêtre principale.
La page Mirror Shielding répertorie trois types de menaces neutralisées par Data Sentinel: les logiciels malveillants sans fichier, les menaces persistantes avancées et les menaces zero-day.
Là où vous pourriez vous attendre à un interrupteur marche-arrêt, il existe plutôt un lien pour en savoir plus sur chacun.
L'essentiel de la protection miroir est que Data Sentinel se place entre vos fichiers et toutes les tentatives de les modifier.
En effet, il virtualise votre système de fichiers, de sorte que ces modifications ne sont pas permanentes tant qu'elles ne sont pas validées.
Si un ransomware crypte vos fichiers, même cette modification est virtualisée, et vous pouvez l'annuler en supprimant les modifications qui n'ont pas été validées.
Webroot SecureAnywhere AntiVirus gère également les ransomwares (et autres malwares) en virtualisant ses actions.
Il élimine immédiatement les logiciels malveillants connus, laisse seuls les bons logiciels connus et surveille les inconnus, en journalisant toutes les modifications du système.
Il envoie également ses observations au cloud de Webroot pour analyse.
Si le programme surveillé s'avère être un logiciel malveillant, l'agent local l'efface et annule toutes ses modifications.
Data Sentinel valide les fichiers régulièrement, toutes les 24 heures par défaut.
Ici, engagé signifie que Data Sentinel applique les modifications en attente au fichier réel.
Que se passe-t-il si les fichiers sont validés après le chiffrement? Data Sentinel conserve les versions de fichiers précédentes, qu'il appelle les engrammes de données.
Par défaut, il gère jusqu'à sept engrammes de données pour chaque fichier.
Data Sentinel ne valide pas automatiquement les fichiers pendant le week-end, car les attaques de ransomware ciblent souvent le vendredi de fin de journée pour leurs actes sales.
Si vous êtes sûr que tous les fichiers d'un dossier protégé vont bien, vous pouvez les valider manuellement à tout moment.
Explorateur NeuShield
Avec Data Sentinel installé, l'Explorateur Windows reçoit quelques modifications dans sa gestion des fichiers et des dossiers.
Lorsque vous cliquez avec le bouton droit sur un dossier protégé, vous trouverez un élément de menu NeuShield, avec des sous-menus pour annuler ou valider les modifications apportées à ce dossier.
Dans le menu Propriétés d'un fichier protégé, une page NeuShield répertorie tous les engrammes de données de ce fichier, avec la possibilité de restaurer les versions précédentes.
Notez que la restauration d'une version antérieure supprime toutes les versions ultérieures.
Utilisez cette capacité avec précaution.
Cliquer sur NeuShield Explorer dans la fenêtre principale fait apparaître une vue de l'Explorateur Windows qui n'affiche que les dossiers protégés, ce qui les rend plus faciles à trouver.
C'est également là que vous invoquez la restauration en un clic - plus d'informations à ce sujet sous peu.
Fonctionnement de Data Sentinel
Certains types de logiciels malveillants se cachent en arrière-plan, exfiltrant vos données personnelles, forçant votre ordinateur à participer à une armée de robots ou utilisant vos ressources pour exploiter la crypto-monnaie.
Plus ils peuvent passer inaperçus, mieux c'est.
Le ransomware est totalement différent.
Une fois qu'il a fait son travail néfaste, il doit attirer votre attention, expliquer ce qui s'est passé et vous dire comment payer la rançon.
Le ransomware s'annonce, il n'est donc pas nécessaire de le détecter… tant que vous êtes prêt à réparer ses dégâts.
Lorsqu'un ransomware vous pénètre au visage et vous demande de l'argent, vous pouvez simplement l'ignorer, si Data Sentinel est installé.
Vous pouvez cliquer avec le bouton droit sur n'importe quel dossier protégé et choisir de ramener ses fichiers à leur état propre et non chiffré.
Si le processus de rançongiciel est toujours actif, vous pouvez placer les fichiers récupérés en verrouillage pendant une période spécifiée, 15 minutes par défaut.
En verrouillage, les fichiers sont protégés de toute modification par tout traiter.
En ce qui concerne le ransomware lui-même, vous gérez cela avec une fonctionnalité appelée Restauration en un clic.
Dans les éditions précédentes, cette fonctionnalité reposait sur la fonction de restauration du système intégrée à Windows pour restaurer votre système tel qu'il était hier, sans toucher à vos documents et paramètres.
La version actuelle ne dépend plus de la restauration du système.
Selon NeuShield, cela rend le processus de restauration jusqu'à 10 fois plus rapide.
Pratique avec Data Sentinel
J'ai installé Data Sentinel sur une machine virtuelle à des fins de test.
Je ne publierais aucun ransomware sur un ordinateur physique! Une fois qu'il était opérationnel, je l'ai frappé avec une collection de ransomwares de cryptage de fichiers du monde réel, un à la fois.
Après avoir terminé avec chaque échantillon, j'ai remis la machine virtuelle dans un état sûr.
Comme toujours, quelques exemples de ransomwares n'ont tout simplement pas fonctionné.
Peut-être ont-ils reconnu la présence de Data Sentinel.
Ceux qui ont fonctionné l'ont fait complètement, chiffrant les fichiers dans de nombreux endroits.
La plupart, mais pas tous, ont affiché une note de rançon ou ont changé l'arrière-plan du bureau en une note de rançon.
Data Sentinel n'a rien fait pour les arrêter, comme prévu.
J'ai utilisé NeuShield Explorer pour vérifier quels dossiers étaient affectés, puis j'ai rétabli le contenu de chaque dossier à son état enregistré.
J'ai accepté l'offre de mettre les dossiers en verrouillage pendant 15 minutes par défaut.
Vous pouvez annuler tous les verrouillages actifs à partir du menu d'icônes de la zone de notification.
J'ai observé que le retour des dossiers ne supprimait pas les notes de rançon.
De plus, j'ai pu voir dans le Gestionnaire des tâches que de nombreux processus de ransomware restaient actifs.
Heureusement que j'ai utilisé le verrouillage! Mon contact NeuShield expliqué ...
