Aun con la enorme satisfacción de haber conseguido que Unhide fuese elegida 'Mejor herramienta de seguridad 2014' (Muchas gracias a todos los que votaron!!) todavía reciente, he decidido lanzar un update de otra herramienta: AntiRansom.
Ya en la versión 2.0 adelanté medidas proactivas para detener una infección en curso y en esta versión 2.5 las he afinado para que funcionen mejor.
Básicamente he mejorado el ratio de detección para 'cazar' al proceso que está haciendo lo que no debe y generar un volcado de su memoria.
He grabado un vídeo con una muestra real de ransomware para que se vea bien como funciona.
Si tenéis dudas sobre como instalar / desinstalar, visitad el post de la versión 2.0
Podéis obtener la versión 2.5 de AntiRansom en primicia desde aquí
29 comments :
Gracias Yago, excelente herramienta.
¡Muchas gracias! ya lo tengo instalado. Tengo una duda sobre el funcionamiento, me da la sensación de que sólo protege a un usuario (administrador) ¿es así? ¿se crean ficheros "trampa" en otras carpertas que no sean las del usuario, como por ejemplo en la raiz del disco duro?
Gracias. Acabo de instalarlo y muestra falsos positivos con servicios tales como
SearchProtocolHost, AvastSvc
Geenial!!
muchas gracias, lo probaremos!
¡¡ Muchas gracias !!
Si esos procesos están accediendo a la carpeta monitorizada, es lógico ese falso positivo. Si me dejas los nombres exactos intentaré solventar el problema en futuras versiones. Muchas gracias por la info
Gracias !!
Muchas gracias por la herramienta. Me ha mostrado un falso positivo (o eso espero) con el proceso svchost.exe.
Cómo no.
Win7 Home Premium SP1 x64
* SearchProtocolHost.exe (Microsoft) -> \Windows\System32
* AvastSvc.exe (Avast AV) -> \Program Files\AVAST Software\Avast
Saludos.
Oleee que buena!!!! Jejejej nada mas instalarla.... SearchProtocolHost.exe warning! Joe y eso que llevo una semana con windows.
Muchas gracias, tomo nota
Probablemente, ¿qué sistema operativo estás usando? ¿7? ¿8?
Lo voy a investigar, muchas gracias por la información !!
Gracias por el currazo y enhorabuena por unHide
Un currazo enorme, enhorabuena Yago. Lo hemos testeado en equipos y va de lujo, pero estamos pensando en instalarlo en algún servidor de ficheros... ¿Alguien ha testeado la herramienta en algún servidor de ficheros?
¿Pararía el proceso de cifrado en el servidor de ficheros que proviene de la infección de un usuario local?
Yago, me detecto un falso positivo con el programa malwarebytes (mbam.exe) W7 professional 64 Bits
No se si soy yo, pero realmente esta versión hace falso-positivo cada ves que un programa crashea y se vuelve molesto. Tengo Windows 7 Professional 64 Bits
Por los resportes en los anteriores comentarios, tiene pinta que algunos antivirus acceden a la carpeta señuelo y por eso salta AntiRansom, si me indicas que AV estás usando y que procesos son detectados, podré resolverlo en futuras versiones.
Windows 8.1, aunque lo he utilizado durante varios días y sólo me dio ese falso positivo, una vez. Me ocurrió tras la activación de un estado de suspensión.
Lo tendré muy en cuenta, en este caso como aviso si tienes tu PC hibernando. No termino de entender por qué Windows, al volver, tiene que acceder a esa carpeta ... pero lo tendré en cuenta. Muchas gracias !!!
En ese momento tenía el essentials de microsoft, ahora me pase al bitdefender y cada 2 por 3 salta el falso-positivo con el archivo steam.exe y con el administrador de tarea
Hola, gracias por compartir esta estupenda aplicación. Me reporta dos falsos positivos: totalcmd64.exe (Total Commander) y el Svchost.exe.
Saludos.
Por cierto, el SO: Windows 8.1 x64
Buenos dias,
Tengo varias dudas
1)Los arvhivos con nombres aleatorios que significan.
2)Lo otro es que en Win8.1 tengo cifrado una carpeta con el cifrado de windows por defecto y ademas de eso tengo las siguientes herramientas de cifrado: VeraCrypt, Gpg4win, AxCrypt instaladas en lo que el sistema me estaba mostrando el servicio scvhost.exe como amenaza. Esto es un conflico o es por que estoy cifrando por con windows.
Muchas gracias.
A mí me ha saltado también con Bitdefender durante un análisis completo del PC, que usa el proceso vsserv.exe y por otra parte también con svshost.exe (W 8.1). Muchas gracias!
He instalado la aplicación y me ha dado un error diciendo que no podían descargarse las aplicaciones de sysinternals.además el pc se ha colgado y he tenido que reiniciar.he intentado desinstalar pero da error y no me deja, dice que lo haga manualmente.¿como puedo desinstalarlo?además veo que ha creado una carpeta en c: con archivos PDF, excel y word raros.porque es esto?es una carpeta que analiza para ver si aparece el ransom?gracias
Hola Yago,
¿Es posible realizar la instalación de forma remota? ¿Se puede utilizar algún tipo de comando?
Hola Yago, con Win7, a los usuarios NO administradores, para instalarlo pide la contraseña y finalmente el programa queda instalado en el usuario administrador, no en el que inició la instalación. Por otro lado, he recibido un par de falsos avisos (¡espero!) con "svchost.exe" y con "SearchProtocolHost.exe".
Un gran trabajo y a la espera de la versión 3 ;-)
me salta por el TSVNCache.exe
Publicar un comentario