20 enero 2015

AntiRansom 2.5 is out !!

Aun con la enorme satisfacción de haber conseguido que Unhide fuese elegida 'Mejor herramienta de seguridad 2014' (Muchas gracias a todos los que votaron!!) todavía reciente, he decidido lanzar un update de otra herramienta: AntiRansom.

Ya en la versión 2.0 adelanté medidas proactivas para detener una infección en curso y en esta versión 2.5 las he afinado para que funcionen mejor.

Básicamente he mejorado el ratio de detección para 'cazar' al proceso que está haciendo lo que no debe y generar un volcado de su memoria.

He grabado un vídeo con una muestra real de ransomware para que se vea bien como funciona.

Si tenéis dudas sobre como instalar / desinstalar, visitad el post de la versión 2.0





Podéis obtener la versión 2.5 de AntiRansom en primicia desde aquí

29 comments :

Angel dijo...

Gracias Yago, excelente herramienta.

mig27 dijo...

¡Muchas gracias! ya lo tengo instalado. Tengo una duda sobre el funcionamiento, me da la sensación de que sólo protege a un usuario (administrador) ¿es así? ¿se crean ficheros "trampa" en otras carpertas que no sean las del usuario, como por ejemplo en la raiz del disco duro?

PepeToni dijo...

Gracias. Acabo de instalarlo y muestra falsos positivos con servicios tales como

SearchProtocolHost, AvastSvc

Sebastian dijo...

Geenial!!
muchas gracias, lo probaremos!

Yago Jesus dijo...

¡¡ Muchas gracias !!

Yago Jesus dijo...

Si esos procesos están accediendo a la carpeta monitorizada, es lógico ese falso positivo. Si me dejas los nombres exactos intentaré solventar el problema en futuras versiones. Muchas gracias por la info

Yago Jesus dijo...

Gracias !!

Ismael dijo...

Muchas gracias por la herramienta. Me ha mostrado un falso positivo (o eso espero) con el proceso svchost.exe.

PepeToni dijo...

Cómo no.

Win7 Home Premium SP1 x64

* SearchProtocolHost.exe (Microsoft) -> \Windows\System32

* AvastSvc.exe (Avast AV) -> \Program Files\AVAST Software\Avast

Saludos.

Victor Manuel Leyva fernandez dijo...

Oleee que buena!!!! Jejejej nada mas instalarla.... SearchProtocolHost.exe warning! Joe y eso que llevo una semana con windows.

Yago Jesus dijo...

Muchas gracias, tomo nota

Yago Jesus dijo...

Probablemente, ¿qué sistema operativo estás usando? ¿7? ¿8?

Yago Jesus dijo...

Lo voy a investigar, muchas gracias por la información !!

ib dijo...

Gracias por el currazo y enhorabuena por unHide

Emilio dijo...

Un currazo enorme, enhorabuena Yago. Lo hemos testeado en equipos y va de lujo, pero estamos pensando en instalarlo en algún servidor de ficheros... ¿Alguien ha testeado la herramienta en algún servidor de ficheros?
¿Pararía el proceso de cifrado en el servidor de ficheros que proviene de la infección de un usuario local?

Matias dijo...

Yago, me detecto un falso positivo con el programa malwarebytes (mbam.exe) W7 professional 64 Bits

Roberto dijo...

No se si soy yo, pero realmente esta versión hace falso-positivo cada ves que un programa crashea y se vuelve molesto. Tengo Windows 7 Professional 64 Bits

Yago Jesus dijo...

Por los resportes en los anteriores comentarios, tiene pinta que algunos antivirus acceden a la carpeta señuelo y por eso salta AntiRansom, si me indicas que AV estás usando y que procesos son detectados, podré resolverlo en futuras versiones.

Ismael dijo...

Windows 8.1, aunque lo he utilizado durante varios días y sólo me dio ese falso positivo, una vez. Me ocurrió tras la activación de un estado de suspensión.

Yago Jesus dijo...

Lo tendré muy en cuenta, en este caso como aviso si tienes tu PC hibernando. No termino de entender por qué Windows, al volver, tiene que acceder a esa carpeta ... pero lo tendré en cuenta. Muchas gracias !!!

Roberto dijo...

En ese momento tenía el essentials de microsoft, ahora me pase al bitdefender y cada 2 por 3 salta el falso-positivo con el archivo steam.exe y con el administrador de tarea

Veobits dijo...

Hola, gracias por compartir esta estupenda aplicación. Me reporta dos falsos positivos: totalcmd64.exe (Total Commander) y el Svchost.exe.
Saludos.

Veobits dijo...

Por cierto, el SO: Windows 8.1 x64

oscar dijo...

Buenos dias,


Tengo varias dudas
1)Los arvhivos con nombres aleatorios que significan.


2)Lo otro es que en Win8.1 tengo cifrado una carpeta con el cifrado de windows por defecto y ademas de eso tengo las siguientes herramientas de cifrado: VeraCrypt, Gpg4win, AxCrypt instaladas en lo que el sistema me estaba mostrando el servicio scvhost.exe como amenaza. Esto es un conflico o es por que estoy cifrando por con windows.


Muchas gracias.

Iván dijo...

A mí me ha saltado también con Bitdefender durante un análisis completo del PC, que usa el proceso vsserv.exe y por otra parte también con svshost.exe (W 8.1). Muchas gracias!

toni dijo...

He instalado la aplicación y me ha dado un error diciendo que no podían descargarse las aplicaciones de sysinternals.además el pc se ha colgado y he tenido que reiniciar.he intentado desinstalar pero da error y no me deja, dice que lo haga manualmente.¿como puedo desinstalarlo?además veo que ha creado una carpeta en c: con archivos PDF, excel y word raros.porque es esto?es una carpeta que analiza para ver si aparece el ransom?gracias

David dijo...

Hola Yago,

¿Es posible realizar la instalación de forma remota? ¿Se puede utilizar algún tipo de comando?

mig27 dijo...

Hola Yago, con Win7, a los usuarios NO administradores, para instalarlo pide la contraseña y finalmente el programa queda instalado en el usuario administrador, no en el que inició la instalación. Por otro lado, he recibido un par de falsos avisos (¡espero!) con "svchost.exe" y con "SearchProtocolHost.exe".
Un gran trabajo y a la espera de la versión 3 ;-)

Iván dijo...

me salta por el TSVNCache.exe