Un experto y famoso investigador que trabajó en la NSA ha desarrollado una herramienta de defensa o fortificación para bloquear ransomware en OS X. El investigador es Patrick Wardle, el cual tiene otras trabajos muy interesantes como el de Bad@ss y su detalle de cómo bypassear Gatekeeper. Wardle que ahora trabaja como director de investigación en SynAck, ha construido un detector de ransomware genérico. La utilidad funciona mediante la suspensión de los procesos que no son de confianza y que utilizan el cifrado de archivos, un sello distintivo de los ataques ransomware.
Como él mismo explica, una vez que un proceso de este tipo se detecta la herramienta RansomWhere? detendrá el proceso y presentará una alerta al usuario. Si RansomWhere? lo sospecha y al notificarlo al usuario, éste confirma la acción maliciosa puede terminar el proceso. Por otro lado, si es un falso positivo, el usuario puede permitir que el proceso continúe la ejecución. En este momento hay dos piezas de malware de tipo ransomware en OS X a disposición del público, así que tendremos que esperar y ver si RansomWhere? es capaz de detectar este tipo de malware en el futuro.
Figura 1: RansomWhere? de Patrick Wardle |
Wardle ha hecho mucho trabajo por mejorar las defensas de la seguridad en entornos Apple, desarrolló su herramienta de protección contra ransomware debido, en parte, a que es el tipo de cosas que las empresas de seguridad deberían estar haciendo. Según comentó el propio Wardle estaba muy sorprendido de que no hubiera más discusiones en las empresas de seguridad comerciales. Wardle también explica que su herramienta está en una fase temprana y que debe ser mejorada, por lo que advierte que un malware puede ser diseñado específicamente para bypassear su herramienta. Echando la vista atrás vemos que la amenaza más sería de este tipo en OSX es KeRanger, el cual apareció en Marzo. Parece que el ransomware ha llegado a OSX para quedarse y habrá que tomar medidas preventivas.
donde se puede descargar
ResponderEliminarHola, la herramienta Ramsomwhere la pueden descargar desde la siguiente url: https://objective-see.com/products/ransomwhere.html
ResponderEliminarSaludos cordiales.