por qué necesita protección contra Ransomware

El Malware viene en muchos sabores. Los troyanos se disfrazan de programas válidos mientras roban secretamente sus datos. Bots alistar su PC en un ejército de zombies, para ser utilizado contra cualquier objetivo el bot-herder deseos. Y ransomware cifra sus archivos esenciales, a continuación, exige dinero en efectivo para restaurarlos. De vez en cuando, un ataque completamente nuevo puede superar su antivirus, pero generalmente una actualización para solucionar el problema aparece en unos pocos días, o incluso horas.,

no es genial tener un virus o troyano infestando su PC, causar estragos durante unos días y luego ser eliminado por una actualización de antivirus, pero es sobrevivible. Cuando el ransomware está involucrado, sin embargo, es una historia diferente. Sus archivos ya están encriptados, por lo que eliminar al perpetrador no le hace ningún bien, e incluso puede interferir con su capacidad para pagar el rescate, si opta por hacerlo. Algunos productos de seguridad incluyen capas de protección específicas para ransomware, y también puede agregar protección específica para ransomware como ayuda para su seguridad existente.,

es aún peor cuando su negocio es atacado por ransomware. Dependiendo de la naturaleza del negocio, cada hora de pérdida de productividad puede costar miles de dólares, o incluso más. Afortunadamente, mientras que los ataques de ransomware están en aumento, también lo están las técnicas para combatir esos ataques. Aquí vemos las herramientas que puede usar para protegerse del ransomware.

¿Qué es el Ransomware y cómo se obtiene?

la premisa del ransomware es simple. El atacante encuentra una manera de tomar algo tuyo, y exige el pago por su devolución., Cifrar ransomware, el tipo más común, le quita el acceso a sus documentos importantes al reemplazarlos con copias cifradas. Paga el rescate y obtienes la clave para descifrar esos documentos (que esperas). Hay otro tipo de ransomware que niega todo uso de su computadora o dispositivo móvil. Sin embargo, este ransomware Screen locker es más fácil de derrotar, y simplemente no representa el mismo nivel de amenaza que cifrar ransomware. Tal vez el ejemplo más pernicioso es el malware que encripta todo el disco duro, haciendo que el equipo inutilizable. Afortunadamente este último tipo es poco común.,

si te golpea un ataque de ransomware, no lo sabrás al principio. No muestra las señales habituales de que tienes malware. Cifrar ransomware funciona en segundo plano, con el objetivo de completar su desagradable misión antes de notar su presencia. Una vez terminado con el trabajo, se pone en su cara, mostrando instrucciones sobre cómo pagar el rescate y recuperar sus archivos. Naturalmente, los perpetradores requieren un pago imposible de rastrear; Bitcoin es una opción popular. El ransomware también puede instruir a las víctimas a comprar una tarjeta de regalo o tarjeta de débito prepagada y proporcionar el número de tarjeta.,

en cuanto a cómo contrae esta infestación, muy a menudo sucede a través de un PDF infectado o documento de Office enviado a usted en un correo electrónico que parece legítimo. Incluso puede parecer que proviene de una dirección dentro del dominio de su empresa. Eso parece ser lo que sucedió con el ataque ransomware WannaCry hace unos años. Si tiene la más mínima duda en cuanto a la legitimidad del correo electrónico, no haga clic en el enlace e infórmelo a su departamento de TI.

Por supuesto, el ransomware es solo otro tipo de malware, y cualquier método de entrega de malware podría traerlo a usted., Una descarga drive-by alojada por un anuncio malicioso en un sitio seguro, por ejemplo. Incluso podría contraer este flagelo mediante la inserción de una unidad USB gimmicked en su PC, aunque esto es menos común. Si tiene suerte, su utilidad de protección contra malware lo atrapará inmediatamente. Si no, podrías estar en problemas.

CryptoLocker y otro Malware de Cifrado

hasta el ataque masivo de WannaCry, CryptoLocker era probablemente la cepa de ransomware más conocida. Apareció hace varios años., Un consorcio internacional de agencias policiales y de seguridad derribó al grupo detrás de CryptoLocker, pero otros grupos mantuvieron vivo el nombre, aplicándolo a sus propias creaciones maliciosas.

un campo menguante

hace varios años, podía elegir entre una docena de herramientas de protección contra ransomware independientes de empresas de seguridad de consumo, y muchas de esas herramientas eran gratuitas. La mayoría de ellos han desaparecido desde entonces, por una razón u otra., Por ejemplo, Acronis Ransomware Protection solía ser una herramienta independiente gratuita, pero ahora solo aparece como un componente en el software de copia de seguridad de la empresa. Del mismo modo, Malwarebytes Anti-Ransomware ahora existe solo como parte de la prima completa Malwarebytes. En cuanto a Heilig defensa de RansomOff, su página web solo dice » RansomOff estará de vuelta en algún momento.»

algunas herramientas de protección contra ransomware provienen de empresas de seguridad empresarial que decidieron hacer un servicio al mundo ofreciendo solo su componente de ransomware como regalo para los consumidores., Y bastantes de ellos también han caído en el camino, ya que las empresas descubren que el producto gratuito consume recursos de soporte. Por ejemplo, CyberSight Ransstopper ya no está con nosotros, y Cybereason RansomFree también ha sido descontinuado.

Bitdefender Anti-Ransomware se ha ido por una razón más práctica. Mientras existió, tomó un enfoque inusual. Un atacante de ransomware que cifrara los mismos archivos dos veces correría el riesgo de perder la capacidad de descifrarlos, por lo que muchos de estos programas dejan algún tipo de marcador para evitar la doble inmersión., Bitdefender emularía los marcadores para muchos tipos de ransomware conocidos, en efecto, diciéndoles: «¡muévanse! Ya has estado aquí!»Este enfoque resultó demasiado limitado para ser práctico. CryptoDrop, también, parece haber desaparecido, aunque su sitio web permanece.

Ransomware Recovery

incluso si el ransomware supera su antivirus, es muy probable que en poco tiempo una actualización del antivirus borre al atacante de su sistema. El problema es, por supuesto, que la eliminación del ransomware en sí no recuperar sus archivos., La única garantía confiable de recuperación es mantener una copia de seguridad en la nube reforzada de sus archivos importantes.

aún así, hay una débil posibilidad de recuperación, dependiendo de qué cepa ransomware cifró sus archivos. Si su antivirus (o la nota de rescate) le da un nombre, Eso es una gran ayuda. Muchos proveedores de antivirus, entre ellos Kaspersky, Trend Micro y Avast, mantienen una colección de utilidades de descifrado únicas. En algunos casos, la utilidad necesita el original sin cifrar de un solo archivo cifrado para corregir las cosas. En otros casos, como TeslaCrypt, una clave maestra de descifrado está disponible.,

pero en realidad, la mejor defensa contra el ransomware consiste en evitar que tome sus archivos como rehenes. Hay una serie de enfoques diferentes para lograr este objetivo.

estrategias Anti-Ransomware

Una utilidad antivirus bien diseñada debería eliminar el ransomware a la vista, pero los diseñadores de ransomware son complicados. Trabajan arduamente para evitar la detección de malware basada en firmas de la vieja escuela y las técnicas modernas más flexibles. Solo se necesita un descuido de su antivirus para dejar que un nuevo ataque de ransomware desconocido haga que sus archivos inutilizables., Incluso si el antivirus recibe una actualización que elimina el ransomware, no puede recuperar los archivos.

Las utilidades antivirus modernas complementan la detección basada en firmas con alguna forma de monitoreo del comportamiento. Algunos se basan exclusivamente en observar comportamientos maliciosos en lugar de buscar amenazas conocidas. Y la detección basada en el comportamiento dirigida específicamente a los comportamientos de ransomware relacionados con el cifrado es cada vez más común.

el Ransomware suele perseguir archivos almacenados en ubicaciones comunes como el escritorio y la carpeta Documentos., Algunas herramientas antivirus y suites de seguridad frustran los ataques de ransomware al negar el acceso no autorizado a estas ubicaciones. Típicamente, se pre-autorizar buena conocida programas como procesadores de texto y hojas de cálculo. En cualquier intento de acceso por un programa desconocido, le preguntan a usted, el Usuario, si debe permitir el acceso. Si esa notificación sale de la nada, no de nada que hayas hecho tú mismo, ¡bloquéala!

Por supuesto, el uso de una utilidad de copia de seguridad en línea para mantener una copia de seguridad actualizada de sus archivos esenciales es la mejor defensa contra el ransomware., Primero, erradicas el malware ofensivo, tal vez con la ayuda del soporte técnico de tu compañía de antivirus. Con esa tarea completa, simplemente restaurará sus archivos de copia de seguridad. Tenga en cuenta que algunos intentos de ransomware para cifrar sus copias de seguridad, así. Los sistemas de copia de seguridad en los que los archivos de copia de seguridad aparecen en una unidad de disco virtual pueden ser especialmente vulnerables. Consulte con su proveedor de copias de seguridad para averiguar qué defensas tiene el producto contra el ransomware.,

detectando el comportamiento del Ransomware

durante su vida útil, la utilidad gratuita de Cybereason Ransfree tenía un solo propósito: detectar y evitar ataques de ransomware. Una característica muy visible de esta utilidad fue su creación de archivos «cebo» en lugares típicamente objetivo por ransomware. Cualquier intento de modificar estos archivos provocó una retirada ransomware. También se basó en otras formas de detección basada en el comportamiento, pero sus creadores eran naturalmente reacios a ofrecer muchos detalles. ¿Por qué decirle a los malos qué comportamientos evitar?, Por desgracia, el mantenimiento de este producto gratuito para los consumidores resultó poco práctico para la empresa centrada en la empresa.

Kaspersky Security Cloud Free y muchos otros también utilizan la detección basada en el comportamiento para eliminar cualquier ransomware que supere su antivirus habitual. No usan archivos de «cebo»; más bien vigilan de cerca cómo los programas tratan sus documentos reales. Al detectar ransomware, ponen en cuarentena la amenaza.

Check Point ZoneAlarm Anti-Ransomware también utiliza archivos de cebo, pero no son tan visibles como los de Ransfree. y claramente utiliza otras capas de protección., Derrotó a todas nuestras muestras de ransomware del mundo real en las pruebas, arreglando los archivos afectados e incluso eliminando las notas de rescate espurias que una muestra mostraba.

Webroot SecureAnywhere AntiVirus se basa en patrones de comportamiento para detectar todo tipo de malware, no solo ransomware. Deja solos los buenos procesos conocidos y elimina el malware conocido. Cuando un programa no pertenece a ningún grupo, Webroot monitorea de cerca su comportamiento. Bloquea a desconocidos de hacer conexiones a internet, y registra cada acción local. Mientras tanto, en Webroot central, el programa desconocido pasa por un análisis profundo., Si resulta ser malicioso, Webroot utiliza los datos registrados para deshacer todas las acciones del programa, incluido el cifrado de archivos. La compañía advierte que la base de datos del diario no es ilimitada en tamaño, y aconseja mantener todos los archivos importantes respaldados. En una prueba reciente, la técnica del diario y reversión de Webroot demostró ser totalmente efectiva.

si el Free Trend Micro Ransombrer detecta un Proceso sospechoso que intenta el cifrado de archivos, Hace una copia de seguridad del archivo y sigue mirando., Cuando detecta un proceso que realiza múltiples intentos de cifrado en rápida sucesión, pone en cuarentena el proceso, notifica al usuario y restaura los archivos de copia de seguridad. En las pruebas, Esta característica se perdió la mitad de las muestras de ransomware del mundo real que le infligimos. Trend Micro confirma que la protección contra ransomware es mejor con la protección de múltiples capas de Trend Micro Antivirus+ Security.

El objetivo principal de Acronis True Image es realizar copias de seguridad, por supuesto, pero el módulo Acronis Active Protection de este producto vigila y previene el comportamiento del ransomware., Utiliza listas blancas para evitar marcar falsamente herramientas válidas como el software de cifrado. También protege activamente el proceso principal de Acronis contra modificaciones y garantiza que ningún otro proceso pueda acceder a los archivos de copia de seguridad. Si el ransomware logra cifrar algunos archivos antes de eliminarlos, Acronis puede restaurarlos desde la última copia de seguridad.

prevenir el acceso no autorizado

Si un nuevo programa de ransomware supera Trend Micro Antivirus+ Security, no podrá hacer mucho daño., La función de protección de carpetas protege los archivos de documentos e imágenes, las carpetas locales que representan el almacenamiento en línea para los servicios de sincronización de archivos y las unidades USB. Avast ha añadido una característica muy similar a Avast Premium Security.

RansomBuster gratuito e independiente de Trend Micro solo protege dos carpetas seleccionadas y sus subcarpetas. Ningún programa no autorizado puede eliminar o modificar archivos en la zona protegida, aunque la creación de archivos está permitida. Además, la compañía ofrece una línea directa de ransomware que está disponible para cualquier persona, incluso para los no clientes., En la página de la línea directa puede encontrar herramientas para derrotar a algunos ransomware Screen locker y descifrar algunos archivos cifrados por ransomware.

Panda Dome Essential y Panda Dome Complete ofrecen una función llamada Data Shield. De forma predeterminada, el escudo de datos protege la carpeta Documentos (y sus subcarpetas) para cada cuenta de usuario de Windows. Protege tipos de archivos específicos, incluidos documentos de Microsoft Office, imágenes, archivos de audio y video. Si es necesario, puede agregar más carpetas y tipos de archivos., Y Panda protege contra todo acceso no autorizado, incluso leyendo los datos de un archivo protegido, por lo que también se opone a los troyanos que roban datos.

probar este tipo de defensa es bastante fácil. Escribimos un editor de texto muy simple, garantizado que no será incluido en la lista blanca por el sistema de protección contra ransomware. Intentamos acceder y modificar archivos protegidos. Y en casi todos los casos verificamos que la defensa funcionó.

recuperación de archivos

la forma más segura de sobrevivir a un ataque de ransomware es mantener una copia de seguridad segura y actualizada de todos sus archivos esenciales., Más allá de la copia de seguridad de sus archivos, Acronis True Image trabaja activamente para detectar y prevenir ataques de ransomware. Esperamos ver características similares en otras herramientas de copia de seguridad.

CryptoDrop Anti-Ransomware mantuvo copias de sus archivos confidenciales en una carpeta segura que no es visible para ningún otro proceso. Por desgracia, mientras que el Sitio Web CryptoDrop todavía existe, se ha convertido en una extraña mezcla de anuncios y contenido sobrante, sin rastro de la utilidad en sí.

como se ha señalado, cuando Trend Micro detecta un Proceso sospechoso que cifra un archivo, realiza una copia de seguridad del archivo., Si ve una ráfaga de actividad de cifrado sospechosa, pone en cuarentena el proceso y restaura los archivos de copia de seguridad. ZoneAlarm también rastrea la actividad sospechosa y repara cualquier daño causado por procesos que resultan ser ransomware.

NeuShield Data Sentinel adopta un enfoque inusual. Dado que el ransomware debe anunciar su presencia para solicitar el rescate, no hace ningún intento de detectar la actividad del ransomware. Más bien, virtualiza los cambios del sistema de archivos en carpetas protegidas y le permite revertir todos los cambios después de un ataque., Para deshacerse del ransomware en sí, hace retroceder el sistema al estado del día anterior. En las pruebas, demostró ser efectivo, aunque podría perder Los cambios de un día en sus archivos.

Ransomware Vaccination

los perpetradores de Ransomware pierden credibilidad si no logran descifrar archivos para aquellos que pagan el rescate. Cifrar el mismo conjunto de documentos varias veces podría hacer que sea difícil o incluso imposible realizar ese descifrado. Por lo tanto, la mayoría de los programas ransomware incluyen algún tipo de comprobación para asegurarse de que no atacan un sistema ya infectado., Por ejemplo, el ransomware Petya inicialmente solo comprobó la presencia de un archivo determinado. Al crear una versión falsa de ese archivo, podría vacunar efectivamente su computadora contra Petya.

Bitdefender Anti-Ransomware, durante su existencia, previno muy específicamente la infestación por TeslaCrypt, BTC-Locker, Locky, y esa primera edición de Petya. No tuvo ningún efecto en Sage, Cerber, versiones posteriores de Petya o cualquier otra familia de ransomware. Y ciertamente no podría ayudar contra una cepa completamente nueva, como puede hacerlo un sistema de detección basado en el comportamiento., Estas limitaciones, junto con la naturaleza siempre cambiante del malware, hicieron que Bitdefender retirara la herramienta, confiando en su lugar en la poderosa protección contra ransomware de su antivirus a gran escala.

Testing Anti-Ransomware Tools

la forma más obvia de probar la protección contra ransomware es lanzar ransomware real en un entorno controlado y observar qué tan bien se defiende el producto contra él. Sin embargo, esto solo es posible si el producto le permite desactivar su antivirus normal en tiempo real mientras deja activa la detección de ransomware., Por supuesto, las pruebas son más simples cuando el producto en cuestión se dedica exclusivamente a la protección contra ransomware, sin un componente antivirus de propósito general.

Además, las muestras de ransomware son difíciles de tratar. Por seguridad, los ejecutamos en una máquina virtual sin conexión a internet o red. Algunos no se ejecutarán en absoluto en una máquina virtual. Otros no hacen nada sin una conexión a internet. Y son simplemente peligroso! Al analizar una nueva muestra, determinando si se debe agregar a la colección, mantenemos un enlace abierto a una carpeta de registro en el host de la máquina virtual., Dos veces hemos tenido una muestra de ransomware llegar y empezar a cifrar esos registros.

KnowBe4 se especializa en capacitar a individuos y empleados para evitar ser golpeados por ataques de phishing. El Phishing es una forma en que los programadores de malware distribuyen ransomware, por lo que los desarrolladores de KnowBe4 crearon un simulador de ransomware llamado RanSim. RanSim simula 10 tipos de ataques de ransomware, junto con dos comportamientos inocuos (pero similares). Un buen puntaje de RanSim es definitivamente un plus, pero no tratamos un puntaje bajo como un menos., Algunos sistemas basados en el comportamiento como Ransfree no detectan la simulación, porque ningún ransomware real limita sus actividades a subcarpetas cuatro niveles por debajo de la carpeta Documentos.

lo que no está aquí

este artículo analiza específicamente las soluciones de protección contra ransomware que están disponibles para los consumidores. No tiene sentido incluir las herramientas de descifrado gratuitas y únicas, ya que la herramienta que necesita depende totalmente de qué ransomware cifra sus archivos. Mejor prevenir el ataque en primer lugar.,

CryptoPrevent Premium, creado cuando CryptoLocker era nuevo, prometía varios niveles de protección contra ransomware basada en el comportamiento. Sin embargo, en el nivel de seguridad superior, inundó el escritorio con archivos de cebo, e incluso en este nivel, varias muestras del mundo real se deslizaron más allá de su detección. No podemos recomendar esta herramienta en su forma actual.

también hemos omitido las soluciones de ransomware dirigidas a grandes empresas, que normalmente requieren una administración central o incluso un servidor dedicado., Bitdefender GravityZone Elite y Sophos Intercept X, por ejemplo, están fuera del alcance de nuestras revisiones, aunque estos servicios pueden ser dignos.

una onza de prevención

recuperar sus archivos después de un ataque es bueno, pero prevenir completamente ese ataque es aún mejor. Los productos que se enumeran a continuación tienen diferentes enfoques para mantener sus archivos seguros. La protección contra Ransomware es un campo en evolución; es muy probable que a medida que evolucione el ransomware, las Utilidades anti-ransomware también evolucionen. Por ahora, ZoneAlarm Anti-Ransomware es nuestra mejor opción para la protección de seguridad específica contra ransomware., Detectó todas nuestras muestras de ransomware, incluido el Petya que cifra el disco y reparó todos los archivos dañados por el ransomware. Si su presupuesto no se limita a pagar por un complemento de protección contra ransomware, considere cambiar a un antivirus o suite de seguridad que incluya una capa de protección específica para ransomware.