Una manera diferente de afrontar la ciberseguridad
En los últimos años, han aparecido muchos productos de seguridad de punto final, cada uno solicitando reclamos sobre sus necesidades de seguridad. Sin embargo, cuando se trata de protección contra ransomware, generalmente solo hay tres formas en que estos productos intentan proteger un dispositivo. Algunos productos usan solo una de estas técnicas, mientras que otros productos usan dos o incluso las tres técnicas. Analicemos cada una de estas técnicas una por una.
Detección y bloqueo
La primera forma en que estos productos lo protegen es a través de la detección. Utilizan diferentes técnicas, como firmas, aprendizaje automático, heurística, análisis de comportamiento u otros medios para detectar el ransomware y luego bloquearlo. Detectar y bloquear el ransomware es la forma típica en que funciona el software antivirus. Esto es muy efectivo para ransomware conocido y otros tipos de malware. Sin embargo, el ransomware completamente indetectable (FUD) no se puede bloquear con estas soluciones.
Para empeorar las cosas, los autores de ransomware verifican rutinariamente su ransomware con servicios como VirusTotal para asegurarse de que su ransomware no pueda ser detectado por las soluciones existentes antes de liberarlos en la naturaleza. Confiar solo en la detección no es una forma adecuada de proteger su dispositivo del ransomware.
Copias de seguridad
Otra técnica que utilizan algunas soluciones anti-ransomware es hacer una copia de seguridad de los archivos en otra ubicación del disco antes de modificarlos. De esta manera, una vez que se detecta el ransomware, pueden revertir estos archivos a un estado preencriptado. Copia de seguridad de archivos funciona bastante bien para ransomware típico, sin embargo, hay varios problemas con este enfoque.
Primero, la copia de seguridad de los archivos duplica la actividad del disco (E / S) porque cada archivo que se modifica necesita una copia de seguridad uno por uno, lo que significa que causa un impacto en el rendimiento. En segundo lugar, muchos programas de ransomware comenzarán intentando eliminar todas las copias de seguridad antes de cifrar el archivo original. En este caso no hay forma de recuperarse ya que la copia de seguridad ha sido destruida. Finalmente, vemos que los programas de ransomware más avanzados, como NotPetya y Shamoon, cifran el disco completo o simplemente borran el disco de todos los datos. Para estos casos, la copia de seguridad de los archivos no ayudará, ya que el disco en sí, incluida la copia de seguridad, se sobrescribe.
Protección específica de carpetas
Un tercer enfoque que adoptan las soluciones de ransomware es bloquear la escritura de programas desconocidos en carpetas protegidas para que solo las aplicaciones aprobadas tengan acceso a estas carpetas. De esta forma, el ransomware, que generalmente se desconoce, no podría cifrar archivos en carpetas protegidas.
A primera vista, esto parece un buen enfoque. Sin embargo, habilitar una función como esta puede ser problemático, ya que es difícil para los usuarios determinar qué aplicaciones deben aprobarse. Para entornos administrados, esto puede causar quejas continuas de usuarios que tienen diferentes aplicaciones de terceros que necesitan acceso específico a estas carpetas. Además, un problema potencialmente peor es que permitir que una aplicación, incluso una buena aplicación conocida, abra una puerta trasera para permitir el ingreso de ransomware. El ransomware puede usar estas aplicaciones aprobadas para cifrar datos. Por ejemplo, hay programas de ransomware que usan macros de Microsoft Word para cifrar archivos. Además, al igual que al hacer copias de seguridad de archivos, esto no ayuda contra el ransomware que cifra o borra el disco completo de todos los datos. Controlar el acceso a las carpetas no lo protege completamente del ransomware.
Una manera diferente
NeuShield Data Sentinel adopta un enfoque completamente diferente al crear un escudo protector entre sus archivos y aplicaciones. Cuando el ransomware u otra aplicación intenta realizar cambios, los archivos originales permanecen intactos, lo que permite a los usuarios revertir cualquier cambio no deseado que se haya realizado.
Mientras que otros productos crean copias de seguridad de sus archivos que pueden aumentar drásticamente el uso del disco y causar una sobrecarga de rendimiento significativa, la revolucionaria tecnología Mirror Shielding™ de NeuShield puede preservar el archivo original sin requerir una copia de seguridad, lo que permite que Data Sentinel proteja los archivos prácticamente sin más actividad de disco (E / S).
Además, la parte de inicio (MBR) de su unidad se controla para evitar que tipos agresivos de ransomware y malware sobrescriban el registro de inicio o dejen el dispositivo incapacitado para iniciaser. El acceso al disco sin formato también se supervisa para evitar que los limpiadores y los programas maliciosos de ransomware destruyan o cifren su unidad.
Finalmente, NeuShield Data Sentinel ofrece una amplia compatibilidad con la mayoría de los productos antivirus y de seguridad de punto final existentes. Esto le permite ejecutar NeuShield junto con sus productos de seguridad existentes para fortalecer su equipo y proteger datos importantes.