Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Detección de ransomware genérico llega a OS X
El investigador Patrick Wardle, director de investigación en SynAck y un conocido hacker de OS X, dio a conocer su propio detector de ransomware genérico OS X llamado RansomWhere- Este monitorea los directorios de inicio en máquinas OS X para procesos que no son de confianza como el cifrado de archivos. Al usuario se le presenta una alerta mientras RansomWhere- bloquea el proceso y espera a que el usuario pueda decidir si se debe permitir o terminar el proceso.
"Vi que los enfoques existentes no estaban funcionando", dijo Wardle "el antivirus tiene sus defectos. KeRanger fue firmado con un certificado ID desarrollador por Apple que pasó desapercibido como una aplicación legítima. Gatekeeper no va a bloquear eso. Hay que pensar fuera de la caja y tomar un enfoque no tan específico".
Wardle explica que su herramienta indica la conducta cuando el ransomware pasa primero por una serie de controles, por ejemplo, se hace una determinación de si se debe confiar en el proceso que se está ejecutando. Procesos firmados por Apple o aprobados por el usuario son de confianza, por ejemplo. Entonces, monitorea el comportamiento de los procesos que no son de confianza para determinar si nuevos archivos que son creados o modificados se cifran. Si dichos procesos crean archivos cifrados rápidamente, la utilidad genera una alerta que suspende el proceso y pregunta al usuario cómo proceder.
Wardle reconoce que su versión 1.0 de RansomWhere- tiene sus limitaciones y que la herramienta puede ser omitida. La detección, dijo, es reactiva y es probable que el usuario pierda algunos archivos antes de que una alerta sea generada y el proceso infractor sea suspendido. La herramienta también confiará en binarios firmados por Apple y no detectará infecciones a través de inyecciones en un binario firmado. Wardle ha publicado todos los detalles técnicos de cómo detecta ransomware y maneja los procesos en ejecución.
Mientras tanto, Wardle mencionó que en iteraciones futuras de RansomWhere- lo ideal sería supervisar todos los archivos en una máquina OS X, no sólo los directorios de usuario. También le gustaría promover la detección en el kernel y permitirse más protección a ese nivel. "Esta es la primera herramienta donde el tiempo es de suma importancia", agregó.
