21 abr. 2016

RansomWhere: detección de ransomware para Mac OS X

Con los miles de ransomware existentes es muy difícil para los productos antivirus basado en firmas tradicionales mantener actualizada su base de datos, aunque algunas compañías antivirus ya han actualizado sus soluciones de seguridad para detectar comportamientos sospechosos como el acceso secuencial de un gran número de archivos y la utilización de mecanismos de intercambio de claves y algoritmos de cifrado.

RansomWhere es una nueva herramienta de detección de ransomware genérico y gratuito para usuarios de Mac OS X.
Esta herramienta permite identificar el comportamiento de un ransomware monitorizando continuamente el sistema de archivos y la creación de archivos cifrados por procesos sospechosos. Ayuda a bloquear los procesos sospechosos y espera que el usuario decida si permite detener el proceso.

Cómo funciona RansomWhere

Patrick Wardle, un ex-empleado de la NSA que ahora trabaja en Synack, ha desarrollado la herramienta RansomWhere, que tiene como objetivo detectar y bloquear ransomware en Mac OS X controlando regularmente el sistema de archivos local del usuario y la creación de archivos cifrados por cualquier proceso.

"El ransomware probablemente cifrará algunos archivos (idealmente sólo dos o tres), antes de ser detectado y bloqueado" escribió Wardle en un blog.

La herramienta analiza las aplicaciones de Mac y los archivos binarios que se firman con un ID de desarrollador de Apple y no por certificados oficiales de Apple.

Si la herramienta detecta un proceso en el que no se confía, se suspende el proceso sospechoso y se alerta al usuario.

Wardle ha probado con éxito RansomWhere contra KeRanger y Gopher, un ransomware de prueba de concepto desarrollado por Pedro Vilaca, el año pasado.

Aunque Wardle admitió que su herramienta no garantiza el resultado del 100 por ciento y que podría ser eludida, siempre es mejor ser un poco más precavidos. Obviamente RansomWhere tampoco detecta infecciones de ransomware después de que se hayan cifrado los archivos ni los archivos fuera de los directorios que no están protegidos por RansomWhere, como ya hizo Vilaca en su ransomware.

Fuente: The Hacker News

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!