Las consecuencias de que el antivirus pierda un ataque de ransomware de día cero son tan calamitosas que muchas personas y empresas eligen complementar la protección antivirus estándar con una aplicación de protección contra ransomware separada.
Algunas de estas aplicaciones funcionan impidiendo cambios no autorizados en carpetas protegidas, mientras que otras aplican análisis de comportamiento para detectar ransomware cifrado.
¡NeuShield Data Sentinel no intenta detectar ransomware! En cambio, se centra en revertir los efectos de un ataque de ransomware.
Hizo un buen trabajo en nuestras pruebas, aunque tiene algunas limitaciones.
¿Cuánto cuesta NeuShield Data Sentinel?
A $ 23,99 por año, Data Sentinel es un poco caro.
Check Point ZoneAlarm Anti-Ransomware cuesta $ 14.95 por año.
CryptoPrevent cuesta casi lo mismo, a $ 15 por año.
Puede obtener tres licencias de Data Sentinel por 59,99 dólares al año o cinco por 79,99 dólares.
En ese nivel de cinco licencias, su precio por dispositivo es aproximadamente el mismo que el de los otros dos.
Trend Micro RansomBuster sigue siendo gratuito.
El lado positivo de pagar por protección es que no es probable que NeuShield desaparezca debido a la falta de ingresos.
Además, su importante consola de administración en línea justifica el cargo de suscripción anual continuo.
La ventana principal de Data Sentinel es mayoritariamente blanca, con toques de grises y verdes azulados.
De forma predeterminada, aparece una página de descripción general que muestra lo que la empresa llama Matriz de protección de datos.
Esta página es más un escaparate que cualquier otra cosa, pero es atractiva.
Los puntos en una matriz circular se mueven según la actividad del disco, formando una gran mancha verde que cambia de forma.
Si Data Sentinel detecta actividad relacionada con el ransomware del sector de arranque, la forma se vuelve roja por un tiempo.
Eso es.
Tres elementos de menú en las páginas abiertas de la izquierda dedicadas a Anti-Ransomware, Anti-Wiperware y Mirror Shielding.
Al hacer clic en NeuShield Explorer, aparece una vista especial del Explorador de Windows que explicaré en detalle a continuación.
Un elemento más del menú abre su cuenta NeuShield en línea.
Esta revisión cubre la edición Home, la más adecuada para los consumidores.
Existe una edición gratuita, pero carece de administración remota y de la importantísima función de restauración con un clic.
También hay una edición Business, con características orientadas a los negocios, como la protección del servidor y la integración con el marco de administración de Kaseya VSA.
¿El qué? Sí, no es para el consumidor medio.
Un campo menguante
Hace varios años, podía elegir entre una docena de herramientas de protección contra ransomware independientes de empresas de seguridad para el consumidor, y muchas de esas herramientas eran gratuitas.
La mayoría de ellos han desaparecido desde entonces, por una razón u otra.
Por ejemplo, Acronis Ransomware Protection solía ser una herramienta independiente y gratuita, pero ahora solo aparece como un componente en el software de respaldo de la empresa.
Del mismo modo, Malwarebytes Anti-Ransomware ahora existe solo como parte del Malwarebytes Premium completo.
En cuanto a Heilig Defense RansomOff, su página web solo dice "RansomOff volverá en algún momento".
Además del mundo de la seguridad del consumidor, algunas herramientas de protección contra ransomware provienen de empresas de seguridad empresarial que decidieron brindarle al mundo un servicio ofreciendo solo su componente de ransomware como obsequio para los consumidores.
Y algunos de ellos también se han quedado en el camino, ya que las empresas descubren que el producto gratuito consume recursos de soporte.
Por ejemplo, CyberSight RansomStopper ya no está con nosotros, y Cybereason RansomFree también ha sido descontinuado.
Bitdefender Anti-Ransomware se ha ido por una razón más práctica.
Mientras existió, adoptó un enfoque inusual.
Un atacante de ransomware que encriptara los mismos archivos dos veces correría el riesgo de perder la capacidad de desencriptarlos, por lo que muchos de estos programas dejan algún tipo de marcador para evitar la doble inmersión.
Bitdefender emularía los marcadores de muchos tipos de ransomware conocidos, diciéndoles de hecho: "¡Adelante! ¡Ya has estado aquí!" Este enfoque resultó demasiado limitado para ser práctico.
CryptoDrop también parece haber desaparecido.
Introducción a Data Sentinel
A diferencia de cualquier otro producto de protección contra ransomware que haya visto, Data Sentinel incluye una consola de administración remota.
Siendo ese el caso, tiene sentido que comience por registrarse para obtener una cuenta en línea.
A continuación, compra el producto o ingresa una clave de licencia y descarga el instalador.
El sitio web genera un instalador que es específico para su cuenta, por lo que no tiene que iniciar sesión después de la instalación rápida.
Una vez que está instalado, comienza la protección de inmediato.
Específicamente, para cada usuario, protege los archivos en estas carpetas: objetos 3D, contactos, escritorio, documentos, música, imágenes, juegos guardados y videos.
Hacer clic en Anti-Ransomware en el menú le permite ver la lista de carpetas protegidas.
No puede eliminar carpetas de ese grupo inicial, pero puede agregar carpetas personalizadas a la lista de protección.
Data Sentinel también protege las manifestaciones de carpetas locales de servicios populares en la nube, si están presentes.
Específicamente, protege Box, Dropbox, Google Drive, OneDrive y OneDrive for Business.
Al hacer clic en Anti-Wiperware, se revela la protección del sector de arranque de Data Sentinel.
Detecta y elimina las aplicaciones que intentan cifrar o corromper su disco duro, así como las aplicaciones que intentan infectar el Master Boot Record.
No hay forma de revertir esas acciones, por lo que Data Sentinel debe prevenirlas de manera proactiva.
Tú lata apague estas protecciones ...
pero ¿por qué haría eso?
Blindaje de espejo
NeuShield llama a la función que le permite recuperar versiones limpias de sus archivos Mirror Shielding.
Es comprensible que no entren en muchos detalles sobre cómo funciona exactamente.
Aunque no puede desactivar esta función, tiene una página dedicada en la ventana principal.
La página Mirror Shielding enumera tres tipos de amenazas neutralizadas por Data Sentinel: malware sin archivos, amenazas persistentes avanzadas y amenazas de día cero.
Donde podría esperar un interruptor de encendido y apagado, hay un enlace para obtener más información sobre cada uno.
La esencia de Mirror Shielding es que Data Sentinel se interpone entre sus archivos y todos los intentos de cambiarlos.
De hecho, virtualiza su sistema de archivos, por lo que esos cambios no son permanentes hasta que se confirman.
Si el ransomware cifra sus archivos, incluso ese cambio se virtualiza, y puede deshacerlo desechando los cambios que no se han confirmado.
Webroot SecureAnywhere AntiVirus también maneja ransomware (y otro malware) virtualizando sus acciones.
Elimina el malware conocido de inmediato, deja solo el software bueno conocido y monitorea las incógnitas, registrando en un diario todos los cambios del sistema.
También envía sus observaciones a la nube de Webroot para su análisis.
Si el programa monitoreado resulta ser malware, el agente local lo borra y revierte todos sus cambios.
Data Sentinel confirma archivos de forma regular, cada 24 horas de forma predeterminada.
Aquí, comprometido significa que Data Sentinel aplica los cambios pendientes al archivo real.
¿Qué sucede si los archivos se confirman después del cifrado? Data Sentinel mantiene versiones de archivo anteriores, a las que llama Data Engrams.
De forma predeterminada, mantiene hasta siete Engramas de datos para cada archivo.
Data Sentinel no envía archivos automáticamente durante el fin de semana, porque los ataques de ransomware a menudo se dirigen al final del día viernes por sus actos sucios.
Si está seguro de que los archivos de una carpeta protegida están bien, puede enviarlos manualmente en cualquier momento.
Explorador de NeuShield
Con Data Sentinel instalado, el Explorador de Windows obtiene algunos cambios en el manejo de archivos y carpetas.
Cuando hace clic con el botón derecho en una carpeta protegida, encontrará un elemento de menú de NeuShield, con submenús para revertir o confirmar cambios en esa carpeta.
En el menú Propiedades de un archivo protegido, una página de NeuShield enumera todos los engramas de datos de ese archivo, con la opción de restaurar a versiones anteriores.
Tenga en cuenta que restaurar una versión anterior descarta todas las versiones posteriores.
Usa esta habilidad con cuidado.
Al hacer clic en NeuShield Explorer en la ventana principal, aparece una vista del Explorador de Windows que solo muestra las carpetas protegidas, lo que facilita su búsqueda.
Aquí también es donde puede invocar Restauración con un clic; más sobre eso en breve.
Cómo funciona Data Sentinel
Algunos tipos de malware se esconden en segundo plano, exfiltrando sus datos personales, obligando a su computadora a participar en un ejército de bots o utilizando sus recursos para extraer criptomonedas.
Cuanto más tiempo pasen desapercibidos, mejor.
El ransomware es totalmente diferente.
Una vez que ha hecho su trabajo nefasto, necesita llamar su atención, explicar lo que sucedió y decirle cómo pagar el rescate.
El ransomware se anuncia a sí mismo, por lo que no es necesario detectarlo ...
siempre que esté preparado para reparar su daño.
Cuando el ransomware se enfrente a usted y le exija dinero, puede simplemente ignorarlo, si tiene Data Sentinel instalado.
Puede hacer clic con el botón derecho en cualquier carpeta protegida y optar por revertir sus archivos a su estado limpio y sin cifrar.
Si el proceso de ransomware aún está activo, puede bloquear los archivos recuperados durante un período específico: 15 minutos de forma predeterminada.
En bloqueo, los archivos están protegidos de cualquier cambio por alguna proceso.
En cuanto al ransomware en sí, lo maneja con una función llamada Restauración con un clic.
En ediciones anteriores, esta función se basaba en la función Restaurar sistema integrada en Windows para restaurar su sistema a la forma en que estaba ayer, sin tocar sus documentos y configuraciones.
La versión actual ya no depende de Restaurar sistema.
Según NeuShield, esto hace que el proceso de restauración sea hasta 10 veces más rápido.
Manos a la obra con Data Sentinel
Instalé Data Sentinel en una máquina virtual para realizar pruebas.
¡De ninguna manera liberaría ransomware real en una computadora física! Una vez que estuvo en funcionamiento, lo encontré con una colección de ransomware de cifrado de archivos del mundo real, uno a la vez.
Después de terminar con cada muestra, devolví la máquina virtual a un estado seguro.
Como siempre, algunas de las muestras de ransomware simplemente no funcionaron.
Quizás reconocieron la presencia de Data Sentinel.
Aquellos que sí funcionaron lo hicieron completamente, encriptando archivos en muchas ubicaciones.
La mayoría, pero no todos, mostraron una nota de rescate o cambiaron el fondo del escritorio a una nota de rescate.
Data Sentinel no hizo nada para detenerlos, como se esperaba.
Usé NeuShield Explorer para verificar qué carpetas se vieron afectadas y luego devolví el contenido de cada carpeta a su estado guardado.
Acepté la oferta de bloquear las carpetas durante los 15 minutos predeterminados.
Puede cancelar todos los bloqueos activos desde el menú del icono del área de notificación.
Observé que la reversión de carpetas no eliminaba las notas de rescate.
Además, pude ver en el Administrador de tareas que muchos de los procesos de ransomware permanecían activos.
¡Menos mal que usé el bloqueo! Mi contacto de NeuShield explicado ...
