Una nueva utilidad para mitigar el cifrado de ficheros y beneficiar a los sufridos usuarios de Windows : ANTI RANSOM 3.0
Cuando un ransomware infecta nuestro ordenador, automáticamente empieza a cifrar todos nuestros datos de manera que una vez finaliza pide el pago de un rescate para recuperarlos.
El creador de esta herramienta ofrece su última versión de dicho software de protección contra los temidos ransomware. Anti Ransom 3.0, que a pesar de haber pasado mucho tiempo desde el lanzamiento de la versión 2.5 Beta, incorpora mejoras y novedades.
Novedades del nuevo Anti Ransom 3.0
Una de las novedades de esta nueva versión es que en lugar de estar escrito en Perl se ha cambiado todo el código fuente para hacerlo 100% Python, de manera que ahora la herramienta no requiere de ninguna aplicación comercial como PDK para convertir los scripts en ejecutables sin dependencias.
El nuevo Anti Ransom 3.0 quiere ser una aplicación mucho más portable. Por ello, esta nueva versión elimina la dependencia “handle” utilizada para listar los archivos abiertos por una función nativa de Python.
Cabe indicar que cuando se lanza dicha utilidad necesita unos cinco minutos para instalarse y que al final de ello indica que ya se ha instalado y que no se borren las carpetas que ha creado.
Desde los inicios Anti Ransom ha funcionado como una aplicación inteligente sin base de datos de ransomware, ya que es capaz de identificarlos por su funcionamiento. Esto sin embargo, generaba un gran número de falsos positivos, ya que cualquier aplicación que intentaba hacer cambios a un fichero o directorio era sospechosa. Para acabar con este problema, esta nueva versión desactiva la indexación de Windows y ahora no se eliminan los procesos automáticamente cuando se detecta actividad sospechosa, sino que se suspenden temporalmente de manera que los datos queden a salvo, para que mientras tanto podamos decidir qué queremos hacer con él.
Tras la detección en cuestión, debe pulsarse el botón de STOP y seguir según indicamos a continuación:
Anti Ransom 3.0
Hemos probado dicha utilidad con el Cryptolocker que tanto nos ha afectado con las continuas variantes que han ido apareciendo, últimamente en falsos mails de facturas de ENDESA. Efectivamente ha detectado estos intentos de cifrado deteniendo el proceso, llegando a cifrar pocos ficheros. Tras la detección podremos desconectar el ordenador infectado de la Red y pasar nuestra utilidad CLRANSOM.EXE que nos dirá ruta y fichero malicioso. Añadiremos .VIR a su extensión, REINICIAREMOS para que ya no persista residente, de esta forma poder enviar dicho fichero para ser analizado y pasar a controlar si aun no es conocido por los antivirus, a los cuales enviaremos muestra del mismo para que añadan su control en sus próximas versiones de los mismos.
Para otro tipo de ransomwares que no sean el Cryptolocker, tras pulsar el botón de STOP y separar el ordenador infectado de la Red, puede procederse a lanzar nuestra utilidad SPROCES.EXE y pulsar SALIR, se indicará que ha creado el fichero C:\SPROCLOG.TXT , el cual puede ser enviado a virus@satinfo.es para ser analizado y poder indicar como proceder en consecuencia (añadiendo .VIR al fichero malicioso que indiquemos y enviándonos el fichero solicitado para ser controlado).
Otro aspecto importante es que la aplicación ahora es multi-proceso, por lo que, si un malware lanza 10 procesos diferentes, la aplicación será capaz de detectar y bloquear temporalmente estos 10 y además contar con otro para seguir protegiendo nuestro sistema.
Esta nueva versión ya se encuentra disponible para descargar en el siguiente enlace:
https://github.com/YJesus/AntiRansom/releases
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMÁTICA 23 de Junio de 2016