Llegamos a ustedes gracias a:



Noticias

Esta herramienta puede bloquear el ransomware en Mac OS X, por ahora

[28/04/2016] Un investigador de seguridad ha creado una herramienta de seguridad gratuita que puede detectar los intentos de los programas de ransomware para cifrar archivos en las Macs de los usuarios y luego bloquearlos antes de que hagan mucho daño.

De nombre RansomWhere?, la aplicación es la creación de Patrick Wardle, director de investigación y desarrollo de la firma de seguridad Synack. Tiene por objetivo detectar y bloquear el cifrado de archivos por parte de procesos no confiables.

La herramienta monitorea los directorios locales de los usuarios y detecta cuándo se cifran archivos rápidamente dentro de ellos -algo que es un signo de la actividad del ransomware.

Cuando se detecta dicha actividad, RansomWhere? determina el proceso responsable y lo suspende. Para reducir los falsos positivos -los programas de cifrado legítimos que son detectados como ransomware-, la herramienta coloca en una lista blanca todas las aplicaciones firmadas por Apple y la mayoría de los que ya existen en el equipo cuando RansomWhere? se instala por primera vez.

Esto significa que para trabajar como se espera, la herramienta necesita instalarse en equipos que no han sido previamente infectados con ransomware. La herramienta tampoco funcionará si algún programa de ransomware que posteriormente infecte a la computadora secuestra o inyecta código en las aplicaciones firmadas por Apple y las usa para cifrar los archivos.

Cuando RansomWhere? suspende un proceso de cifrado, se solicita al usuario que permita la operación para continuar o la concluya. Esto proporciona a los usuarios una oportunidad para colocar en una lista blanca a los programas de cifrado legítimos que conocen y en los cuales confía.

Aunque, en general, es buena para bloquear ataques de ransomware oportunistas, RansomWhere? no proporciona una protección perfecta, ni tampoco afirma tener una tasa de detección del 100%.

En primer lugar, el mecanismo de bloqueo de RansomWhere? solo se activa después de que el programa de ransomware ha cifrado algunos archivos. Aunque su número debería ser de un solo dígito.

"RansomWhere? fue diseñado para detener genéricamente ransomware de OS X, afirmó Wardle en una entrada de blog. "Sin embargo, se crearon varias opciones de diseño -para facilitar la confiabilidad, simplicidad y velocidad- que podrían afectar su capacidad de protección. En primer lugar, es importante entender que las protecciones otorgadas por cualquier herramienta de seguridad, si se dirigen específicamente a algo, pueden evitarse. Es decir, si un nuevo ransomware de OS X es diseñado específicamente para evitar RansomWhere? es probable que tenga éxito.

Hasta hace poco, los creadores de ransomware se han dirigido casi exclusivamente hacia los equipos con Windows, pero eso ha comenzado a cambiar.Ya hay variantes de ransomware que infectan servidores web basados en Linux, y los investigadores han creado programas de ransomware de prueba de concepto para OS X para demostrar que la plataforma pueden verse afectada.

En febrero, investigadores de malware descubrieron un nuevo programa de ransomware que se vende en los foros de cibercrimen que tenía versiones para Windows y Mac. Luego en marzo, los usuarios de Mac fueron afectados por KeRanger, el primer ransomware para OS X encontrado.

A medida que se intensifica la competencia entre los creadores de ransomware, muchos de ellos probablemente se ramificarán hacia otras plataformas en busca de nuevas víctimas. Los usuarios de Mac son ciertamente un objetivo atractivo.