Al ransonware lo conocemos como un malware que restringe el acceso al ordenador infectado y demanda que el usuario haga un pago como rescate para que se le devuelva el control de su sistema. Conocido también como scareware o extorsión criptoviral, recientemente dimos con una protección ante ataques de RansomWare en forma de software llamada AntiRansom 1.0.
Las amenazas que tiene que sortear un usuario de ordenadores cambian todo el tiempo y generalmente se suman una encima de la otra, haciendo de la informática e internet un campo minado en donde hay que saber dónde pisar. Uno de los ataques que se han puesto de moda últimamente son los ataques de Ransomware, donde un usuario es objetivado un algún hacker malicioso y a través de una serie de programas el victimario se dedican a recorrer las unidades de disco del ordenador infectado de la víctima y cifra los documentos que va encontrando a su paso, dejándolos virtualmente inutilizables. Ahí es cuando se contactan con el afectado y le exigen que pague un caro rescate por su ordenador a cambio de una herramienta que revertirá el proceso y volverá el ordenador a la normalidad. Las pérdidas y los costos son altos, así que mejor será cuidarse con una herramienta como Anti Ransom 1.0.
Anti Ransom permite detectar que el sistema está siendo víctima de un ataque Ransom y actuar de una forma rápida salvando en muchos casos la mayoría de ficheros importantes. Según su desarrollador, el funcionamiento es el siguiente: Durante el proceso de instalación se crea una carpeta con nombre aleatorio en C:\ (en el caso de Windows XP) o en la carpeta personal del usuario (%HOMEPATH%) en el caso de Windows 7. Se ha procurado que dichas carpetas comiencen con una secuencia numérica para ‘posicionarlas’ lo más arriba posible con la intención de que sean las primeras sobre las que se realice el cifrado. En esa carpeta se crea un número aleatorio (nunca es el mismo número) de ficheros con formatos PDF, Excel y RTF. El contenido de esos ficheros también es aleatorio, de forma que resulte más complejo distinguir lo que es una carpeta legítima de una carpeta señuelo.
Una vez creado el señuelo, se instala un programa (igualmente en ubicación aleatoria y con el nombre igualmente aleatoria) que se dedica a monitorizar esa carpeta buscando cambios en ella. Bien sea que se ha creado un nuevo fichero (las amenazas de tipo RansomWare cuando cifran un fichero lo renombran con alguna extensión nueva), o bien si se altera el hash md5 del fichero, señal inequívoca de que un fichero que no debe cambiar está siendo alterado por una amenaza Ransom. Al detectar esta actividad sospechosa, el programa avisa al usuario y según el desarrollador en el futuro el programa podrá realizar acciones por sí solo, como “matar” el proceso actuante o directamente apagar el equipo rápidamente.
