26 junio 2014

Anti Ransom V2-BETA

Parece que la tendencia del RansomWare sigue al alza, cada vez se leen más casos y parece que esta nueva amenaza ha llegado para quedarse.

Hace tiempo publiqué Anti Ransom 1.0 como herramienta heurística que permite detectar un ataque de RansomWare y, en la medida de lo posible, evitar que se agrande el daño.

Mucha gente se descargó la herramienta y casi todos pidieron unánimemente que, además de detectar, se añadiesen medidas proactivas.

El pueblo habla, nosotros escuchamos: En esta nueva versión (todavía en fase BETA) he integrado varias herramientas de Sysinternals para poder detectar qué proceso es el que está editando los ficheros señuelo y detener el proceso provocando un volcado de su memoria.

Volcar la memoria del proceso permite, en teoría, poder localizar las claves que ha usado para cifrar el contenido del disco duro. De esta forma se podría llevar a cabo un análisis de la memoria del proceso y con la clave que haya usado, revertir las partes del disco que hayan sido cifradas.

En concreto estoy usando Handle y Procdump. La primera para localizar el proceso que está haciendo 'el mal' y la segunda para generar un volcado analizable mediante WinDBG.

Para instalar la herramienta, lo ideal es que tengas conectividad directa, esto es necesario ya que Sysinternals NO permite redistribuir su software así que es necesario descargarlo de la web. Si no tienes conectividad directa, simplemente descarga los ficheros zip de ambas herramientas en el directorio de instalación. En caso de tener conectividad directa, Anti Ransom descargará el solito las herramientas

Una vez hecho eso, simplemente ejecuta setup.exe


Y selecciona 'install'

Recuerda que es MUY IMPORTANTE NO BORRAR la carpeta de la instalación para poder desinstalar la herramienta. Esto es así para que resulte menos evidente que la herramienta se encuentra instalada en el sistema. La instalación/desinstalación no depende de Windows y se realiza únicamente desde el instalador. Para desinstalar hace falta LA MISMA CARPETA desde la que se hizo la instalación y ejecutar setup.exe pero en modo 'Uninstall'

Una vez se detecte la amenaza, debería salir un aviso tal que así:



Y junto con el aviso, un volcado de los procesos que hayan sido detectados como sospechosos. 

Mi idea, si el proyecto tiene calado, es ir desarrollando pequeñas sub-herramientas para analizar volcados de memoria y sacar las claves en función del tipo de malware que sea. 

Podéis descargar Anti Ransom V2-BETA desde aquí

9 comments :

SiD dijo...

Genial upgrade.

vive_69 dijo...

Gracias por en el esfuerzo.El apagado automático sería una buena opción,en vez de la ventana de aviso.

spawn dijo...

Fantastico, gran trabajo. Echaremos un vistazo a esta actualización.

Remilgio dijo...

Buen trabajo. Y esta herramienta se puede instalar en un servidor ?.

Yago Jesus dijo...

En principio no está diseñada para ese tipo de entornos, pero se podría adaptar con cierta facilidad si hay interés en el tema

Juan Devincenzi dijo...

Muy buen trabajo Jago. Si el ransomware presentase
características de rootkit entiendo que podría ocultar los handlers que utiliza
a la API que consume Handle verdad?
Un saludo desde Argentina!

moha dijo...

hola, Yago Jesus al instalarlo me sale un archivo que se llama uninstall.bat y le di un par de veces y me salio el mensaje ese de anti ransom 2.0 por que sera? desisntale volvi a instalar y al hacer lo mismo volvio a salir pero si no se abre ese archivo no sale el mensjae, y si me sale el mensaje normalmente con solo apagarlo se arregla o como?

Yago Jesus dijo...

Sí, si el malware usa un mecanismo tipo rootkit podría ocultarse, no obstante la alerta de que algo está haciendo lo que no debe es seguro que la vas a ver

Yago Jesus dijo...

Hola, SOLO has de usar el fichero setup.exe lo otro NO es para ser usado por ti, ese uninstall.bat se usa desde setup.exe. Si estás usando windows 7 y ejecutas uninstall.bat a mano, es probable que no se ejecute 'elevado' y la desinstalación sea incorrecta