Su antivirus o suite de seguridad realmente debería protegerlo contra el ransomware, junto con todos los demás tipos de malware.
Puede haber un desliz ocasional con un ataque nunca antes visto, pero esas incógnitas se dan a conocer rápidamente.
Desafortunadamente, la eliminación ex post facto de ransomware todavía deja sus archivos encriptados.
Es por eso que es posible que desee agregar una utilidad de protección contra ransomware a su arsenal.
El CyberSight RansomStopper gratuito detuvo el ransomware del mundo real en las pruebas, y la última actualización maneja el ransomware que solo se ejecuta en el momento del arranque.
RansomStopper es bastante similar a Cybereason RansomFree, Trend Micro RansomBuster y Malwarebytes Anti-Ransomware Beta.
Los cuatro son gratuitos y todos detectan ransomware en función de su comportamiento.
Dado que dependen del comportamiento, no importa si el ransomware es una cantidad antigua y conocida o un ataque de día cero recién creado.
Al igual que RansomFree, RansomStopper utiliza archivos de cebo como parte de su metodología de detección.
Sin embargo, RansomStopper oculta sus archivos de cebo al usuario.
Empezando
La instalación fue rápida en mis pruebas.
Después de la descarga, completé el proceso ingresando mi nombre, apellido y dirección de correo electrónico.
Una vez que respondí al correo electrónico de confirmación, el producto estaba en funcionamiento.
A diferencia de ZoneAlarm Anti-Ransomware y algunos otros, requería un reinicio para estar completamente operativo.
La sencilla ventana principal del producto informa que "está protegido contra ransomware".
Los botones en la parte inferior le permiten ver las alertas de seguridad, los procesos que RansomStop ha bloqueado y los procesos que ha elegido permitir.
Otro botón le permite buscar actualizaciones, si no seleccionó actualizaciones automáticas durante la instalación.
¡Sencillo!
CyberSight también ofrece una edición comercial.
Las características agregadas incluyen alertas por correo electrónico, administración centralizada e informes detallados.
La edición empresarial cuesta $ 29,99 por una sola licencia, aunque el precio cae a tan solo $ 10 por puesto con licencias por volumen.
Protección contra ransomware
Cuando RansomStopper detecta un ataque de ransomware, finaliza el proceso delictivo y muestra una advertencia en el área de notificación.
Hacer clic en la advertencia le permite ver qué archivo causó el problema.
Existe una opción para eliminar programas de la lista de procesos bloqueados, junto con una advertencia de que hacerlo es una mala idea.
Esperar a detectar el comportamiento del ransomware a veces puede significar que el ransomware cifra algunos archivos antes de la terminación.
Cuando probé Malwarebytes, perdió algunos archivos de esta manera.
Check Point ZoneAlarm Anti-Ransomware ($ 39.95 facturado anualmente en ZoneAlarm) recupera activamente cualquier archivo cifrado.
En mis pruebas, lo hizo para cada muestra de ransomware.
Sin embargo, RansomStopper detuvo las mismas muestras sin permitir el cifrado de ningún archivo.
Para una verificación rápida de la cordura, lancé un programa de ransomware falso simple que escribí yo mismo.
Todo lo que hace es buscar archivos de texto dentro y debajo de la carpeta Documentos y cifrarlos.
Utiliza un cifrado simple y reversible, por lo que una segunda ejecución restaura los archivos.
RansomStopper lo atrapó y evitó su engaño.
Hasta aquí todo bien.
Precaución, Live Ransomware
La única forma segura de probar la protección contra ransomware basada en el comportamiento es mediante el uso de ransomware en vivo.
Hago esto con mucha cautela, aislando el sistema de prueba de mi máquina virtual de cualquier carpeta compartida y de Internet.
Esta prueba puede ser desgarradora si el producto anti-ransomware falla en su detección, pero mi prueba RansomStopper se desarrolló sin problemas.
Al igual que ZoneAlarm y Malwarebytes, RansomStopper capturó todas las muestras y no encontré ningún archivo encriptado antes de que se activara la detección de comportamiento.
Cybereason RansomFree funcionó bastante bien, pero se perdió una.
También pruebo usando RanSim de KnowBe4, una utilidad que simula 10 tipos de ataques de ransomware.
El éxito en esta prueba es información útil, pero el fracaso puede significar simplemente que la detección basada en el comportamiento determinó correctamente que las simulaciones no son un ransomware real.
Al igual que RansomFree, RansomStopper ignoró las simulaciones.
Peligro de arranque resuelto
Mantenerse fuera del radar es un gran problema para el ransomware.
Cuando es posible, hace sus sucias acciones en silencio, y solo presenta su demanda de rescate después de cifrar sus archivos.
Tener privilegios de administrador facilita el trabajo del ransomware, pero llegar a ese punto generalmente requiere el permiso del usuario.
Existen soluciones para obtener esos privilegios de forma silenciosa.
Estos incluyen organizar el proceso de Winlogon en el momento del arranque o establecer una tarea programada para el tiempo de arranque.
Por lo general, el ransomware solo se arregla para iniciarse en el arranque y luego fuerza un reinicio, sin realizar ninguna tarea de cifrado.
En mis pruebas anteriores, descubrí que el ransomware podía cifrar archivos en el momento del arranque antes de que RansomStopper se activara.
Mi propio programa de cifrado falso logró esa hazaña.
Cifró todos los archivos de texto dentro y debajo de la carpeta Documentos, incluidos los archivos de texto de cebo de RansomStopper.
(Sí, esos archivos están en una carpeta que RansomStopper oculta activamente, pero tengo mis métodos ...) También se perdió una muestra de ransomware del mundo real que configuré para que se iniciara al inicio.
Los diseñadores de CyberSight probaron una serie de soluciones para este problema y lanzaron una nueva versión que se adelanta al ransomware en el momento del arranque.
Lo probé; funciona, eliminando una mancha en los ahora excelentes resultados de las pruebas de RansomStopper.
RansomFree se ejecuta como un servicio, por lo que está activo antes de cualquier proceso regular.
Cuando realicé la misma prueba, configurando una muestra de ransomware del mundo real para que se iniciara al inicio, RansomFree también la detectó.
Malwarebytes también pasó esta prueba.
RansomBuster detectó el ataque en el momento del arranque y recuperó los archivos afectados.
Para explorar más este problema, obtuve una muestra del ransomware Petya que causó problemas a principios de este año.
Esta cepa en particular bloquea el sistema y luego simula la reparación en el momento del arranque por parte de CHKDSK.
Lo que realmente está haciendo es cifrar su disco duro.
Malwarebytes, RansomFree y RansomBuster no pudieron evitar este ataque.
RansomStopper lo detectó antes de que pudiera causar el bloqueo del sistema, ¡impresionante! ZoneAlarm también evitó el ataque de Petya.
Para ser justos con los demás, este no es un típico ransomware de cifrado de archivos.
Más bien, bloquea todo el sistema cifrando el disco duro.
Al consultar a mis contactos, descubrí que los ataques de ransomware en el momento del arranque, incluido Petya, se están volviendo menos comunes.
Aun así, he añadido esta prueba a mi repertorio.
Otras tecnicas
La detección basada en el comportamiento, cuando se implementa correctamente, es una excelente manera de combatir el ransomware.
Sin embargo, no es la única forma.
Trend Micro RansomBuster y Bitdefender Antivirus Plus se encuentran entre los que frustran el ransomware al controlar el acceso a los archivos.
Evitan que los programas que no son de confianza realicen cambios en los archivos de las carpetas protegidas.
Si un programa que no es de confianza intenta modificar sus archivos, recibirá una notificación.
Normalmente, tiene la opción de agregar el programa desconocido a la lista de confianza.
Eso puede ser útil si el programa bloqueado era su nuevo editor de texto o de fotos.
Panda Internet Security va aún más lejos, evitando que los programas que no son de confianza incluso lean datos de archivos protegidos.
Los ladrones de ransomware deben tener cuidado de poder descifrar archivos cuando la víctima pague.
Cifrar archivos más de una vez podría interferir con la recuperación, por lo que la mayoría incluye un marcador de algún tipo para evitar un segundo ataque.
Bitdefender Anti-Ransomware aprovecha esa técnica para engañar a familias específicas de ransomware haciéndoles creer que ya lo han atacado.
Sin embargo, tenga en cuenta que esta técnica no puede hacer nada con los nuevos tipos de ransomware.
Cuando Webroot SecureAnywhere AntiVirus encuentra un proceso desconocido, comienza a registrar en diario toda la actividad de ese proceso y a enviar datos a la nube para su análisis.
Si el proceso resulta ser malware, Webroot revierte todo lo que hizo, incluso revierte la actividad del ransomware.
ZoneAlarm y RansomBuster tienen sus propios métodos para recuperar archivos.
Cuando el componente anti-ransomware de Acronis True Image mata un ataque de ransomware, puede restaurar archivos cifrados desde su propia copia de seguridad segura si es necesario.
Ahora un ganador
CyberSight RansomStopper detectó y bloqueó todas mis muestras de ransomware del mundo real sin perder ningún archivo.
También detectó mi simple simulador de ransomware codificado a mano.
Y bloqueó un ataque de Petya, donde fallaron varios productos de la competencia.
Anteriormente, RansomStopper exhibió una vulnerabilidad al ransomware que solo se ejecuta en el momento del arranque, pero mis fuentes dicen que este tipo de ataque se está volviendo menos común y CyberSight ha solucionado este problema desde entonces.
Otros productos gratuitos tenían sus propios problemas.
RansomFree perdió una muestra del mundo real, y Malwarebytes permitió que otra muestra encriptara irreversiblemente algunos archivos antes de que se activara su detección.
RansomBuster fue peor, perdiendo la mitad de las muestras por completo (aunque su componente Folder Shield protegió la mayoría de los archivos).
RansomStopper y Check Point ZoneAlarm Anti-Ransomware son nuestras mejores opciones para la protección dedicada contra ransomware.
ZoneAlarm no es gratis, pero a $ 2.99 por mes tampoco es terriblemente caro.
Aún así, RansomStopper gestiona la protección completa sin costo alguno.
