当一个全新的病毒、僵尸或木马出现时,反病毒工具通常通过启发式、模糊检测或行为技术来捕获它。不过,有时候,这零日恶意软件在反病毒社区赶上之前,可以自由支配一段时间。通常,防病毒更新会在几天甚至几小时内清除新的威胁。但如果威胁是勒索软件,那就太晚了,因为你的文件已经加密了。出于这个原因,许多个人和企业选择使用单独的ransomware保护一些此类应用程序通过防止对受保护文件夹进行未经授权的更改来工作,而其他应用程序则应用行为分析来检测加密勒索软件。另一方面,newshield数据哨兵没有尝试检测或防止勒索软件!相反,它专注于扭转勒索软件攻击的影响。它在我们的测试中做得很好,尽管它确实有一些限制。
新盾数据哨兵的成本是多少?
《新闻盾牌》的定价是多层次的,就像《编辑之选》一样Check Point ZoneAlarm反勒索软件。哪个成本更高?这取决于你想保护多少设备。newshield的单设备授权费为每年23.99美元,而ZoneAlarm的授权费为每年34.95美元。选择三个许可证的ZoneAlarm订阅,价格高达44.95美元;如果你有三个newshield授权,你的费用将跃升至59.99美元。newshield的家庭包提供五个许可证,价格为79.99美元,而ZoneAlarm的五个许可证价格为54.95美元。换句话说,单个newshield许可证的成本比ZoneAlarm大约低10美元,而在每个多设备层,每个设备的成本大约高出5美元。
Data Sentinel的主窗口大部分是白色的,点缀着灰色和蓝绿色。它默认是一个概览页面,显示该公司所谓的数据保护矩阵。这一页更多的是装点门面,但它很吸引人。圆形矩阵上的点根据磁盘活动移动,形成一个大的绿色斑点,它根据磁盘活动改变形状。如果数据哨兵检测到与引导扇区勒索软件相关的活动,则形状会暂时变为红色。就是这样。
菜单项在左侧打开的页面专门用于反勒索软件,反雨刷软件和镜像屏蔽。点击“新闻栏资源管理器”会显示一个特殊的Windows资源管理器视图,我将在下面详细解释。还有一个菜单项可以在线打开您的newshield帐户。
类似的产品
Bitdefender防病毒Plus
Webroot SecureAnywhere防病毒
安克诺斯网络保护总部
Check Point ZoneAlarm反勒索软件
Sophos Home Premium
熊猫穹顶高级版
本评论涵盖了最适合消费者的家庭版。有一个免费版本,但它缺乏远程管理和最重要的一键恢复功能。还有一个商业版,具有面向业务的功能,如服务器保护和与Kaseya VSA管理框架的集成。什么?是的,它不适合普通消费者。
缩小的领域
虽然勒索软件攻击呈上升趋势在美国,专门用于防御勒索软件的产品领域正在萎缩。几年前,你可以从消费者安全公司提供的十几个独立的勒索软件保护工具中进行选择,其中许多工具是免费的。由于这样或那样的原因,其中大多数已经消失了。例如,Acronis Ransomware Protection曾经是一个免费的独立工具,但现在它只作为公司备份软件的一个组件出现。同样,Malwarebytes反勒索软件现在只作为完整的一部分存在伪溢价。至于Heilig Defense RansomOff,它的网页上曾经写着“RansomOff将在某个时候回来”,但现在根本没有页面。
除了消费者安全领域,一些勒索软件保护工具来自企业安全公司,他们决定通过向消费者免费提供他们的勒索软件组件来为世界提供服务。所有这些都被搁置一边,因为公司发现免费产品消耗了支持资源。例如,CyberSight RansomStopper不再与我们在一起,Cybereason RansomFree也同样停止了。
在网上更安全是一件非常容易的事Bitdefender反勒索软件的消失有一个更实际的原因。当它存在时,它采取了一种不同寻常的方式。如果勒索软件攻击者对相同的文件进行两次加密,就有可能失去解密的能力,因此许多这样的程序都会留下标记,以避免二次泄密。Bitdefender会模仿许多知名勒索软件类型的标记,实际上是在告诉他们:“继续前进!你已经来过这里了!”事实证明,这种方法的局限性太大,不实用。CryptoDrop似乎也消失了。
这使得CryptoPrevent溢价和Data443勒索软件恢复管理器。嗯,差不多。在我今年早些时候的审查之后,Data443将他们的产品从市场上撤下,等待必要的改进。而cryptopprevention在测试中的表现非常糟糕,只获得了两颗星。
开始使用数据哨兵
与我见过的任何其他勒索软件保护产品不同,Data Sentinel包括一个远程管理控制台。在这种情况下,你从注册一个在线账户开始是有道理的。接下来,购买产品或输入许可密钥,然后下载安装程序。
网站会为你的账户生成一个特定的安装程序,所以你在快速安装后不必登录。一旦安装,它立即开始保护。它像系统还原一样,对重要的Windows文件进行快照。它对这些文件夹中的文件应用特殊保护:3D对象,联系人,桌面,文档,音乐,图片,保存的游戏和视频。点击菜单中的反勒索软件,你可以看到受保护文件夹的列表。您不能从初始组中删除文件夹,但可以将自定义文件夹添加到保护列表中。自上次评测以来,您可以将整个驱动器(启动驱动器除外)添加到列表中。
Data Sentinel还保护流行云服务的本地文件夹,如果存在的话。具体来说,它保护Box, Dropbox, Google Drive,OneDrive以及OneDrive for Business。如果您已配置存储服务,使其在系统上显示为文件夹,则Data Sentinel可以保护该文件夹。
点击反雨刷软件显示数据哨兵的引导扇区保护。它检测并杀死那些试图加密或损坏硬盘的应用程序,以及那些试图感染主引导记录的应用程序。没有办法逆转这些行为,这就是为什么Data Sentinel需要主动预防它们。你可以关闭这些保护,但请不要这样做。现在我们已经看到了对数据清除器和勒索软件的保护变得更加重要乌克兰的数据清除运动。
镜子屏蔽
数据哨兵调用功能,让您恢复受保护文件的干净版本镜像屏蔽。可以理解的是,他们没有详细说明它是如何工作的。虽然你不能关闭这个功能,但它在主窗口有一个专门的页面。
镜像屏蔽页面列出了Data Sentinel消除的三种威胁:无文件恶意软件、高级持续威胁和零日威胁。在你可能期待一个开关的地方,取而代之的是一个链接,以了解更多关于每个开关的信息。
镜像屏蔽的要点是数据哨兵在你的文件和所有试图改变它们之间。实际上,它虚拟化了您的文件系统,因此任何更改在提交之前都不是永久性的。如果勒索软件加密了你的文件,即使是那个更改也是虚拟的,你可以通过扔掉没有提交的更改来撤销它。自从我上次评论以来,newshield甚至可以从Windows 11回退到Windows 10,不过我没有测试这个功能。
Webroot SecureAnywhere防病毒还通过虚拟化其操作来处理勒索软件(和其他恶意软件)。它可以立即消除已知的恶意软件,而不去理会已知的好软件,并监视未知的软件,记录所有系统更改。它还将观测结果发送到Webroot的云端进行分析。如果云计算得出结论,被监视的程序是恶意软件,那么本地代理就会将其清除并回滚其所有更改。
Data Sentinel定期提交文件——默认情况下每24小时提交一次。这里,提交意味着Data Sentinel将挂起的更改应用到实际文件。如果文件在加密后提交,会发生什么?Data Sentinel维护以前的文件版本,它称之为Data Engrams。默认情况下,它为每个文件维护最多7个Data engram。此外,如果Data Sentinel检测到可能的恶意软件活动,它现在将暂停提交计划。您可以使用在线控制台在清理后重新启用调度。
Data Sentinel不会在周末自动提交文件,因为勒索软件攻击的目标通常是周五的最后一天。如果您确定受保护文件夹中的文件都没有问题,则可以随时手动提交它们。
值得注意的是,Data443的产品还通过虚拟化对文件系统和注册表的更改来实现功能。然而,它是虚拟化的所有因此,每次重启后,你的电脑都会完全恢复到以前的状态,除了受保护文件夹中的文档。要安装新程序、更新现有程序或执行Windows更新,必须关闭保护、重新启动、执行安装、打开保护并再次重新启动。此外,它的受保护文件恢复系统只有在检测到勒索软件时才会起作用,而在测试中只有一半的时间是这样。没有办法手动触发它。这些都是Data443暂时停止销售该产品的原因之一。
NeuShield探险家
安装了Data Sentinel后,Windows资源管理器在处理文件和文件夹方面有了一些改变。当您右键单击受保护的文件夹时,您会发现一个newshield菜单项,其中包含用于对该文件夹进行恢复或提交更改的子菜单。右键单击文件,就会出现Revision History菜单项。这是一个改进——上次我查看每个文件的属性对话框中的修订历史记录是作为页面存在的。
在主窗口中单击newshield资源管理器,会弹出一个Windows资源管理器视图,该视图只显示受保护的文件夹,使它们更容易找到。这也是调用一键恢复的地方——稍后会详细介绍。
数据哨兵如何工作
某些类型的恶意软件隐藏在后台,窃取您的个人数据,迫使您的计算机参与机器人大军,或使用您的资源挖掘加密货币。他们躲得越久越好。
勒索软件则完全不同。一旦它完成了邪恶的工作,它需要引起你的注意,解释发生了什么,并告诉你如何支付赎金。勒索软件会自我宣布,所以没有必要检测它……只要你准备好消除它的损害。
当勒索软件出现在你面前,要求你付钱时,如果你安装了数据哨兵,你可以忽略它的要求。挥动一键恢复的魔棒,通过将所有可执行文件和其他监控程序恢复到以前的状态来消除勒索软件本身。您可以右键单击任何受保护的文件夹,并选择将其文件恢复到干净,未加密的状态。
在最早的版本中,一键恢复依赖于Windows内置的系统恢复功能,可以在不触及文档和设置的情况下将系统恢复到昨天的状态。后来的版本不再依赖于不可靠的系统恢复。目前的版本承诺会“显著提高newshield恢复操作系统的速度”。在测试中,这种加速被证明是非常显著的。
监控文件,保护文件夹
一键恢复并不能完全恢复一切。与System Restore一样,它监视和恢复匹配a的文件冗长的文件扩展名类型集(在新窗口中打开)。文件可以监控,也可以不监控;文件夹可以保护或不保护。数据哨兵在修复勒索软件攻击时分别处理每种组合。
对于受保护文件夹中的受监视文件,一键恢复将恢复原始的未加密版本。随后的Revert操作尝试执行相同的操作,但是文件名已经被占用了。因此,它恢复了原始文件内容,同时保留了勒索软件强加的名称。你最终会得到两个相同的文件,这总比没有好。
受保护文件夹中的大多数文件都是不受监控的类型,如文档、图片和视频。一键还原对这些文件没有影响,而还原会恢复原始文件。大多数受监视的文件都不在受保护的文件夹中。一键恢复完全恢复这些文件,而恢复没有效果。这些是最常见的恢复场景。
这将使未受监视的文件留在未受保护的文件夹中,例如。cab、。dat和。log文件。如果勒索软件选择加密这些文件,数据哨兵不会把它们带回来。在测试中,我发现在一些情况下,清理过程留下了多达10,000个加密的辅助文件。公平地说,我没有注意到任何问题,ZoneAlarm也出现了同样的情况。
Hands On With Data Sentinel
我在一台虚拟机上安装了Data Sentinel进行测试。我不可能在物理计算机上发布真正的勒索软件!一旦它启动并运行,我就用一系列真实世界的文件加密勒索软件攻击它,一次一个。在完成每个示例之后,我将虚拟机恢复到相同的安全状态。
在这样的测试中,我通常会发现一些勒索软件样本无法执行,可能是识别出反勒索软件的存在。这一次,我的所有示例都按预期运行,加密了许多位置的文件。大多数(但不是全部)显示了勒索信,或者将桌面背景更改为勒索信。正如预期的那样,Data Sentinel没有采取任何措施来阻止它们。
上次测试该产品时,我首先恢复了受影响的文件,并使用锁定功能在15分钟内阻止对恢复的文件进行任何更改。在那之后,我运行了一键恢复来消除勒索软件本身。我的公司联系人指出,最好先运行一键恢复,所以我这次就这么做了。在每种情况下,一键还原都在大约三分钟内完成,比我上次测试所需的半小时好得多。
有两种方法可以将受保护的文件还原为未加密的版本。首先,您可以使用newshield Explorer来修复每个文件夹。在NeuShield Explorer中右键单击该文件夹,从菜单中选择NeuShield,然后选择Revert。确认后,Data Sentinel将恢复该文件夹中的文件。其次,您可以打开在线控制台,选择要恢复的文件夹,然后发送一个命令来恢复所有文件夹。我在测试中使用了这两种方法。
Data Sentinel确实警告说,恢复更改的过程会将所有文件恢复到昨天的状态。今天所做的任何编辑和刻意的改变都会随着勒索软件所做的恶劣改变一起消失。一键恢复可以清除今天安装的所有程序,而不仅仅是勒索软件。与丢失所有文件或支付赎金相比,那些丢失的编辑和微小的更改是一个很小的代价。在每种情况下,一键恢复与恢复未提交的文件相结合,解除了勒索软件造成的损害。
Disk-Encrypting Ransomware
大多数勒索软件攻击都是为了勒索你的重要文件,而不去管电脑的其他部分。毕竟,关闭电脑会让你失去支付赎金的能力。但是,您偶尔会发现加密整个磁盘的勒索软件,我在我的测试集合中保留了其中一个。
这个勒索软件程序模拟崩溃,假装收集有关崩溃的数据,然后重新启动,声称它正在恢复你的驱动器。事实上,它正在加密整个硬盘。当它完成时,它会闪烁一个花哨的赎金要求。专注于文件加密勒索软件的保护工具通常会忽略这一点。
当我在测试系统上启动样本时,它没有机会做任何讨厌的事情,因为Data Sentinel立即捕获了它。正如所承诺的那样,它的保护矩阵显示暂时变为红色,并且一个小弹出框宣布数据哨兵可以防止对引导扇区的攻击。危机避免!
屏幕锁和在线管理
锁屏勒索软件在移动设备上更为常见,但它也存在于个人电脑上。屏幕锁,顾名思义,接管你的屏幕,显示它的勒索通知,并阻止所有其他活动。这些信件通常假装是执法部门发出的警告,称所要求的付款是罚款,而不是赎金。
一键恢复可以很容易地处理这个问题-除了屏幕锁阻止您调用该功能。勒索软件防护卡巴斯基网络安全包括一个特殊的击键来打破屏幕锁的控制。Data Sentinel的处理更为复杂。
Data Sentinel在线控制台列出了所有受保护的设备(在我的情况下只有一个),并提供对客户活动和帐户活动的详细日志的访问。它还允许您远程控制Data Sentinel的本地副本。
为了消除屏幕锁对我受保护的虚拟电脑的控制,我首先点击了“设备详细信息”按钮。这揭示了关于设备硬件、网络和安全性以及本地Data Sentinel客户机设置的重要详细信息的多页集合。它还将设备详细信息按钮更改为还原/还原按钮。
单击该按钮,我可以选择一键恢复、恢复文件或恢复覆盖(最后一项允许您重新启用暂停的提交计划)。在这种情况下,没有文件受到威胁,所以我选择了第一个选项。与本地客户机不同,在线控制台让我选择使用哪个Data Engram(下面有更多关于这些的介绍)。
Data Sentinel不会在不咨询本地用户的情况下在计算机上疯狂地执行远程恢复。默认情况下,它会显示30秒的确认消息,用户可以选择允许或不允许。您可以设置自己的消息,并将消息时间增加到五分钟。您也可以选择在确认超时后强制恢复。我需要最后一个选项,因为测试系统的屏幕是锁定的。远程恢复完全完成了任务。
在线控制台还可以让您更好地控制在加密勒索软件攻击后如何恢复文件。从在线,您可以一次选择多个文件夹并恢复它们。在本地,您必须一次管理一个文件夹。
企业所有者请注意,通过更改控制台中的设置,您可以让IT部门负责Data Sentinel的安装,从而完全取消本地用户的控制权。在家庭环境中,你可以保护孩子的电脑,同时把所有的设置和活动都交给你自己。如果您想确保没有人可以更改这些设置,您可以启用多因素身份验证为您的在线纽盾账户登记。
什么是双因素身份验证?承诺与印记
默认情况下,Data Sentinel每天提交一次更改。您可以将提交间隔更改为短至4小时或长至4天,但默认的每日提交可能就可以了。当您还原文件时,您将丢失最近一次提交后所做的更改。同样,丢失对少数文件的更改比丢失所有文档到勒索软件的影响要小得多。
可以想象,一开始你可能会错过勒索软件攻击的证据。例如,有些不显示消息,而是在已修改文件的名称中嵌入电子邮件地址。在这种情况下,Data Sentinel可能会提交勒索软件的更改,使简单的恢复操作变得无用。自从我上次评论以来,Data Sentinel有了新功能,如果它检测到可能存在恶意软件的异常行为,就会暂停提交计划,从而潜在地避免了这个问题。
即使提交了文件的加密版本,您仍然可以恢复,尽管这需要时间。右键单击每个受影响的文件并选择Revision History。在这里,您可以选择并恢复到以前的文件版本,默认情况下最多有七个。您还可以保存任何修订级别的副本,而不更改原始版本。
保留恢复文件所需的数据自然会占用磁盘空间。很难说具体是多少,但该产品的FAQ表示,用于受保护文件的磁盘空间平均增加了10%左右,再加上高达10GB的磁盘空间以支持一键恢复。您不应该在可用空间有限的驱动器上使用Data Sentinel。但是,如果你确保你的硬盘有足够的空闲空间,你的生活会在很多方面变得更好。
其他勒索软件防护技术
ZoneAlarm反勒索软件尽其所能检测勒索软件行为,并在其造成伤害之前终止攻击。它还尽最大努力恢复在删除之前加密的任何文件。ZoneAlarm的受保护备份存在本地,该公司没有详细说明它们是如何存储的,这是很合理的。在测试中,它被证明是有效的。
趋势科技最高安全性在拳台上施展了一系列技巧。对于初学者来说,它的文件夹屏蔽组件可以防止对受保护文件夹中的文件进行未经授权的更改。它的行为组件检测任何文件夹中的勒索软件活动。它还可以恢复在行为检测启动之前加密的文件。然而,当我单独测试这个功能时,效果并不好。
防止未经授权的更改的技术可能非常有效,许多通用防病毒程序都使用这种技术。与Data Sentinel的方法一样,只要用户不盲目授权错误的程序,这种方法就不需要检测勒索软件。甚至Microsoft Defender防病毒软件包括这种保护样式的一种形式。
熊猫穹顶高级版将最后一个概念更进一步。它可以防止未经授权的程序进行所有访问,甚至是只读访问。除了阻止勒索软件攻击外,这项技术还可以挫败窃取数据的特洛伊木马。
你安装了勒索软件保护来处理你的主杀毒让零日攻击溜走。像这样巧妙的新攻击可能也会躲过基于行为的检测。使用Data Sentinel,攻击者会加密您的文件,但您几乎肯定会把它们拿回来。
它到底有什么承诺
Data Sentinel不是试图检测和避免勒索软件攻击,而是专注于从这种攻击中恢复,它提供了其他任何地方都没有的功能,包括高性能的在线管理控制台。在测试中,它可以处理文件加密、磁盘加密和屏幕锁定勒索软件。您确实有丢失当天文件更改的风险,但这比丢失所有文件要好。
目前,我们的编辑选择的勒索软件保护是Check Point ZoneAlarm反勒索软件。是的,数据哨兵逆转了我们尝试过的所有勒索软件攻击的效果,但ZoneAlarm首先阻止了这些攻击的生效。即便如此,Data Sentinel仍然是一个很好的选择。
newshield Data Sentinel不会尝试检测勒索软件,这可能会失败。相反,它提供了从勒索软件中恢复的技术。它在测试中表现良好。
