Últimamente ando lidiando con casos de
RansomWare, ya publiqué aquí
un par de artículos sobre el tema.
Tal y como están las cosas hoy día con respecto a este tipo de amenazas, lo cierto es que a nivel técnico, una vez se ha producido la infección, poco se puede hacer.
El uso de algoritmos robustos y contraseñas aleatorias dificultan ¿imposibilitan? un final feliz que no sea pagando a estos estafadores.
Con suerte 'solo' serán unos pocos cientos de euros, pero ya se han visto casos de miles de euros en los que sobre todo empresas, ante la desesperación de ver su negocio bloqueado, han terminado pagando.
Este tipo de amenazas se dedican a recorrer las unidades de disco y cifran los documentos que van encontrando dejándolos inutilizados.
Una vez pagas el rescate, te facilitan una herramienta que es capaz de revertir ese proceso y hacer que los ficheros vuelvan a su estado original
En muchas ocasiones el afectado en cuestión no necesita el total de sus ficheros, y lo que le hace pagar es el poder recuperar varias carpetas muy concretas.
Recapitulando mi experiencia en este tipo de amenazas se me ocurrió
una forma de intentar detectar lo antes posible la presencia de una
amenaza de este tipo en un sistema.
Madurando esa idea el resultado ha sido Anti Ransom 1.0
A diferencia de los sistemas más tradicionales basados en firma, lo que hace mi herramienta es basarse en comportamiento, y para ello emplea una suerte de 'honeypots para ransomware', lo que permite detectar que el sistema está siendo víctima de un ataque Ransom y actuar de una forma rápida salvando en muchos casos la mayoría de ficheros importantes.
El funcionamiento es muy fácil de explicar:
Durante el proceso de instalación se crea una carpeta con nombre aleatorio en C:\ (caso de Windows XP) o en la carpeta personal del usuario (%HOMEPATH%) en el caso de Windows 7.
Se ha procurado que dichas carpetas comiencen con una secuencia numérica para 'posicionarlas' lo más arriba posible con la intención de que sean las primeras sobre las que se realice el cifrado
En esa carpeta se crean un número aleatorio (nunca es el mismo número) de ficheros con formatos PDF, Excel y RTF. El contenido de esos ficheros también es aleatorio, de forma que resulte más complejo distinguir lo que es una carpeta legítima de una carpeta señuelo.
|
Carpeta señuelo |
|
Una vez creado el honeypot, se instala un programa (igualmente en ubicación aleatoria y con el nombre igualmente random) que se dedica a monitorizar esa carpeta buscando cambios en ella. Bien sea que se ha creado un nuevo fichero (las amenazas de tipo RansomWare cuando cifran un fichero lo renombran con alguna extensión nueva), o bien si se altera el hash md5 del fichero, señal inequívoca de que un fichero que no debe cambiar está siendo alterado por una amenaza Ransom.
Cuando detecta actividad sospechosa, informa al usuario de ello
A futuro estoy trabajando en formas de identificar el proceso que ha causado la alerta e intentar 'matarlo'. No obstante, en este tipo de amenazas, dado que el tiempo juega un papel vital, lo más fiable es apagar el equipo y plantearse analizarlo offline, es la única forma de evitar que se pierdan los datos con ciertas garantías.
El programa se instala / desinstala de una forma muy sencilla:
Una vez instales el programa, guarda la carpeta desde donde hiciste la instalación, esto es MUY importante ya que, en aras de hacer más difícil su detección, el programa no usa los mecanismos habituales para registrarse en windows, y para desinstalar solo lo podrás hacer si ejecutas la desinstalación desde la carpeta donde realizaste la instalación.
En principio este programa ha sido diseñado para estaciones de trabajo (probado en XP y Windows 7) y mi objetivo es sacar una versión para servidores lo antes posible (con auto-apagado, notificación por correo electrónico ...)
Podéis descargar la beta de Anti Ransom 1.0
desde aquí
Para instalar simplemente ejecutad setup.exe