28 mar. 2016

Herramientas para detectar ransomware en Windows y Linux

Cada vez es más frecuente hablar de malware que cifra archivos en Windows, Linux y Mac OS.
Sean Williams es el director y desarrollador del proyecto Cryptostalker que inicialmente estaba destinado a controlar el sistema de archivos, es decir, las lecturas y escrituras de los archivos. Sin embargo, teniendo en cuenta que el tipo de amenazas que nos ocupan escriben datos de forma aleatoria para conseguir el cifrado de los archivos, la utilidad se ha adaptado para que sea capaz de alertar al usuario sobre esto.
  1. Con Cryptostalker el usuario será capaz de saber si su sistema Linux está infectado con alguna de estas amenazas.
  2. Security by Default ha desarrollado una aplicación de seguridad llamada AntiRansom especialmente para detectar este tipo de malware en Windows.
  3. La otra herramienta, CryptoPrevent es una aplicación para Windows diseñada originalmente para prevenir la infección de CryptoLocker que surgió a fines de 2013 y actualmente proporciona protección contra una amplia gama de ransomware y otros malware.
  4. Malwarebytes también ha lanzado su herramienta Anti-Ransomware (Beta), capaz de detectar y bloquear CryptoWall4, CryptoLocker, Tesla y CTB-Locker.
  5. BitDefender también ha lanzado una "vacuna" para protegerse contra versiones de las familias CTB-Locker, Locky y TeslaCrypt: BDAntiRansomware.
  6. PowerShell y Bash que permite detectar la modificación de ciertos archivos señuelos en el Windows y Linux.
  7. Sigue los 22 consejos para evitar el ransomware.

Teniendo en cuenta que este tipo de amenazas afecta por igual a los sistemas operativos disponibles a la actualidad, y que la utilidad está desarrollada en Python, se ha preguntado al desarrollador sobre la posibilidad de que la herramienta llegue al sistema operativo de sobremesa de los de Cupertino. La respuesta ha sido clara, no descartando la posibilidad pero manteniendo que en primer lugar y tras el desarrollo para Linux el próximo objetivo será Windows.

Wiliams añade que la mayoría de estas amenazas realiza el cifrado de forma satisfactoria si es capaz de contactar con el servidor de control remoto, es decir, si dispone de acceso a Internet. La idea del desarrollador es trabajar de forma conjunta con otras herramientas existentes y así cerrar el tráfico saliente para evitar que el cifrado se complete de forma satisfactoria.

Recientemente, el CNI, a través del CCN-CERT, publicó una guía sobre el ransomware en el que se recogían algunas de las variantes junto con herramientas de descifrado de los archivos que han ido proporcionando las diferentes casas de antivirus tras la desarticulación de alguna red de criminales o tras un análisis profundo de las muestras.

Las herramientas se pueden descargar desde los siguiente enlaces:
Fuente: Redes Zone I | Redes Zone II

9 comentarios:

  1. Buen aporte. Agrego lo siguiente (Está en fase BETA):

    https://forums.malwarebytes.org/topic/177751-introducing-malwarebytes-anti-ransomware-beta/

    ResponderEliminar
    Respuestas
    1. Hola, trabajo con Linux versiones .deb, tiene algún significado esto? se que estoy infectado pero ocurre algo extraño, con live cd todo funciona perfectamente, hace meses que trabajo así y no sabia lo que estaba sucediendo pero esta fue mi salida, si sirve o me pueden decir algún método para eliminar esta "mugre", les agradeceré mucho

      Eliminar
  2. Buen aporte, contra locky no hay nada?, tengo ataques en la empresa de ese ransom...

    ResponderEliminar
    Respuestas
    1. Locky v1 y v2 se pueden descifrar. Desde la v3 en adelante ya no se puede.
      Más info: http://blog.segu-info.com.ar/search/?q=locky

      De todos modos estas tools son para prevenir, no para descifrar los archivos.

      Eliminar
    2. Cristian, con que programas se puede descifrar los archivos de la V1 y V2?

      gracias,

      Eliminar
    3. Cristian, con que aplicativo puedes recuperar los archivos infectados con la versión 1 y 2 del Locky?

      Eliminar
    4. Esas tools p/detectar, no para recuperar
      Las v1 y v2 en algunos casos se pueden recuperar desde las Shadow Copy , si están habilitadas.

      Eliminar
  3. Buen aporte, he tenido muchos ataques del Ransonware Locky, en la version v1 y v2 pude recuperar los archivos usando los shadow copies pero la v3 borro las shadow copies y tube que hacer un restore del dia anterior.

    ResponderEliminar
  4. Excelente material Cristian. Mas allá de las herramientas antimalware y de prevención que se puedan emplear, creo que este tipo de amenazas ha puesto de manifiesto que no alcanza proteger las instalaciones con nada mas que una solución antivirus y que quienes administran seguridad de redes deben pensar en términos mas amplios donde no deben dejar de contar con sistemas de backups automáticos, planes de contingencia, programas de concientización, etc.
    Un abrazo !

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!