27 jun. 2016

Anti Ransom v3

Ya ha pasado algún tiempo desde la última versión de Anti Ransom. De entrada, primer y principal cambio: Ahora Anti Ransom es OpenSource y puedes descargar, visionar y si te apetece colaborar en el código fuente del proyecto desde GitHub.

Esto ha sido posible al cambiar del lenguaje original (Perl) a Python. Perl requería el uso de PDK, una herramienta comercial que permite convertir scripts en ejecutables libres de dependencias. En el caso de Python, lo he cambiado por Pyinstaller.

El siguiente cambio ha sido dejar de utilizar handle como herramienta para listar ficheros abiertos. Eso evita seguir teniendo que descargar en cada instalación dicho programa. Queda como dependencia Procdump, pero ya estoy valorando ideas para eliminar dicha dependencia.

El módulo psutil de Python tiene una interesante función llamada open_files() que lista los ficheros abiertos de cada proceso. Personalmente era bastante escéptico, pero una vez implementada una rutina basada en ella, tengo que decir que el resultado ha sido excelente. Todas las muestras que he usado han sido detectadas con bastante celeridad, superando con mucho la rutina anterior que usaba handle

Otro tema que inquieta mucho a la gente son los falsos positivos. A lo largo de estos años mucha gente me ha enviado correos al respecto. Para abordar este tema, de entrada, durante la instalación se deshabilita y detiene el servicio de indexación de Windows, causante de la mayoría de falsos positivos.

Además, ahora Anti Ransom ya no decide por si mismo eliminar un proceso, te permite decidir a ti lo que quieres hacer.


Evidentemente, el gap de tiempo que hay entre que tú decides y el proceso muere, puede suponer que tu HD quede cifrado o no. Por eso, lo que hace AntiRansom es suspender el proceso potencialmente malicioso y lanzar el popup, de esa forma, mientras decides, tu HD sigue a salvo. Si le dices 'Go', el proceso se des-suspende y sigue con normalidad y si le dices stop, el proceso muere dejando tras de sí un dump de su memoria en la que puedes 'escarbar' y tratar de encontrar la(s) clave(s) que ha usado para cifrar los ficheros.

Además, ahora Anti Ransom es multi-hilo, de forma que, si encuentra un proceso sospechoso y lanza el popup, lanzará a la vez otro hilo que sigue monitorizando. Por tanto, si un malware ha lanzado 10 procesos, los 10 van a ser detenidos casi a la vez, independientemente de que estés frente al PC para pulsar 'Stop'. Cuando vuelvas, verás los 10 popups y todos los procesos maliciosos estarán suspendidos.

La versión ya compilada y lista para ser instalada se puede descargar desde aquí. En poco tiempo actualizaré la página principal del proyecto, con capturas y vídeos.

Fuente: SecurityByDefault

4 comentarios:

  1. No es un poco contradictorio este proyecto con respecto a otro del mismo desarrollador: http://www.security-projects.com/?Folklorica

    ResponderEliminar
    Respuestas
    1. Hola Nico, exactamente por qué crees tú que es contradictorio ?

      Eliminar
  2. Ayer probé en una VM esta herramienta AntiRansom. Fue con una versión actual (de ayer) de Locky que superó exitosamente al AV instalado (SEP 12.1.6) y esta herramienta ni reaccionó.

    Evidentemente los creadores de ransomware sigue evolucionando su software dia a día para saltar los obstáculos que aparecen. Al final Locky cifró los PPT y DOC que tenia como señuelo, y muy tarde reaccionó SEP matando el proceso malicioso y acabando con su actividad, que ya habia finalizado.

    Lo tragico/divertido es que la medida correctiva de SEP incluyó eliminar los HTML con las intrucciones de rescate de los archivos cifrados.

    En un escenario de la vida real eso resultaría en haber acabado con la última (y peor) opción para recuperar los archivos cifrados/secuestrados.

    Tenia esperanza de ver actuar AntiRansom v3 en ese escenario, pero no resultó.

    ResponderEliminar
    Respuestas
    1. Raúl muchas gracias por tu comentario!
      Este tipo de comentario son los que enriquecen, aportan al tema en cuestión.
      Saludos!

      Eliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!