Saltar al contenido

▷ Que Es Ransomware 🧡 Mejores Antivirus para Ransomware

¿Que es el Ransomware? Ransomware es una molestia regular. Una infección de ransomware toma como rehenes a tu computadora y exige el pago para su la liberación.

¿Es Ransomware realmente tan aterrador como creemos?

En algunos casos, un pago no protege tus archivos. Las fotos personales, la música, las películas, el trabajo y más se destruyen. La tasa de infección de ransomware sigue aumentando, desafortunadamente, todavía no hemos alcanzado el pico, y su complejidad va en aumento.

Ha habido excepciones notables a esta regla. En algunos casos, los investigadores de seguridad han descifrado el cifrado ransomware , lo que les permite crear una codiciada herramienta de descifrado . Estos eventos son raros, por lo general llegan cuando se elimina un botnet malicioso. Sin embargo, no todo el ransomware es tan complejo como creemos.

La anatomía de un ataque Ransomware

A diferencia de algunas variantes comunes de malware, ransomware intenta permanecer oculto el mayor tiempo posible. Esto es para dar tiempo a encriptar sus archivos personales.

Ransomware está diseñado para mantener la máxima cantidad de recursos del sistema disponibles para el usuario, para no dar la alarma. En consecuencia, para muchos usuarios, la primera indicación de una infección de ransomware es un mensaje posterior a la encriptación que explica lo que sucedió.

Comparado con otro malware, el proceso de infección de ransomware es bastante predecible. El usuario descargara un archivo infectado: contiene la carga útil de ransomware. Cuando se ejecuta el archivo infectado, no aparecerá nada inmediatamente (dependiendo del tipo de infección).

El usuario permanece inconsciente de que el Ransomware comienza a encriptar sus archivos personales.

Patrones de comportamiento Ransomware.

Además de esto, un ataque de ransomware tiene muchos otros patrones de comportamiento distintos:
Nota distintiva de ransomware.
Transmisión de datos en segundo plano entre los servidores de host y control.
La entropía de los archivos cambia.

Tal vez te interese leer:

→ Aumentar memoria Vram en Windows 10

Entropía de archivos

La entropía de archivos se puede utilizar para identificar archivos cifrados con ransomware. Escribiendo para Internet Storm Center, Rob VandenBrink resume brevemente la entropía y el ransomware de archivos:

En la industria de TI, la entropía de un archivo se refiere a una medida específica de aleatoriedad llamada “Shannon Entropy”, llamada así por Claude Shannon. Este valor es esencialmente una medida de la predictibilidad de cualquier carácter específico en el archivo, basado en los caracteres anteriores (detalles completos y matemática aquí).

En otras palabras, es una medida de la “aleatoriedad” de los datos en un archivo, medida en una escala de 1 a 8, donde los archivos de texto típicos tendrán un valor bajo, y los archivos cifrados o comprimidos tendrán una gran medida.

¿Es diferente del malware “ordinario”?

Ransomware y malware comparten un objetivo común: permanecer oscurecidos. El usuario mantiene una posibilidad de combatir la infección si se detecta en poco tiempo. La palabra mágica es “encriptación”. Ransomware toma su lugar en infamia por su uso del cifrado, mientras que el cifrado se ha utilizado en malware durante mucho tiempo.

El cifrado ayuda a que el malware pase bajo el radar de los programas antivirus al confundir la detección de firmas. En lugar de ver una cadena reconocible de caracteres que alertarían a una barrera de defensa, la infección pasa desapercibida.

A pesar de que las suites de antivirus son cada vez más expertas en notar estas cadenas, conocidas comúnmente como hashes , es trivial para muchos desarrolladores de malware trabajar.

Métodos comunes de ofuscación.

Aquí hay algunos métodos más comunes de ofuscación:

Detección : muchas variantes de malware pueden detectar si se están utilizando en un entorno virtualizado. Esto permite que el malware evada la atención de los investigadores de seguridad simplemente negándose a ejecutar o descomprimir. A su vez, esto detiene la creación de una firma de seguridad actualizada.

Sincronización : las mejores suites de antivirus están constantemente alerta, buscando una nueva amenaza. Lamentablemente, los programas antivirus generales no pueden proteger todos los aspectos de su sistema en todo momento. Por ejemplo, algunos malware solo se implementarán luego de un reinicio del sistema, escapando (y probablemente deshabilitando en el proceso) las operaciones antivirus.

Comunicación : el programa malicioso llamará a su servidor de comando y control (C & C) para obtener instrucciones. Esto no es verdad para todo el malware. Sin embargo, cuando lo hacen, un programa antivirus puede detectar direcciones IP específicas que se sabe que alojan servidores C & C e intentan evitar la comunicación. En este caso, los desarrolladores de malware simplemente rotan la dirección del servidor de C & C, evadiendo la detección.

Operación falsa : un programa falso ingeniosamente elaborado es quizás una de las notificaciones más comunes de una infección de malware. Los usuarios inconscientes suponen que esto es una parte regular de su sistema operativo (generalmente Windows) y alegremente siguen las instrucciones en pantalla.

Estos son particularmente peligrosos para los usuarios de PC no calificados y, si bien actúan como un front-end amigable, pueden permitir que un host de entidades maliciosas acceda a un sistema.

Esta lista no es exhaustiva. Sin embargo, cubre algunos de los métodos más comunes que el malware utiliza para permanecer oculto en su PC.

¿Es simple el Ransomware?

Simple es quizás la palabra incorrecta. Ransomware es diferente. Una variante de ransomware utiliza encriptación más extensamente que sus contrapartes, así como de una manera diferente. Las acciones de una infección ransomware son las que lo hacen notable, además de crear un aura: el ransomware es algo a lo que temer.

Ransomware utiliza características algo nuevas, como:

Encriptando grandes cantidades de archivos.
Eliminar instantáneas que normalmente permitirían a los usuarios restaurar desde la copia de seguridad.
Creación y almacenamiento de claves de cifrado en servidores remotos de C & C.
Exigir un rescate, por lo general en Bitcoin no rastreable.

Mientras que el malware tradicional “simplemente” roba sus credenciales de usuario y contraseñas, el ransomware le afecta directamente, perturbando su entorno informático inmediato. Además, sus consecuencias son muy visuales.

Tácticas de Ransomware: tabla maestra de archivos

El factor “¡Wow!” De Ransomware ciertamente proviene de su uso del cifrado. Pero, ¿es la sofisticación todo lo que parece? Engin Kirda, cofundador y arquitecto jefe de Lastline Labs, piensa que no.

Él y su equipo ( utilizando la investigación realizada por Amin Kharraz, uno de los estudiantes de doctorado de Kirda) completaron un enorme estudio ransomware, analizando 1359 muestras de 15 familias ransomware. Su análisis exploró los mecanismos de eliminación y encontró algunos resultados interesantes.

¿Cuáles son los mecanismos de eliminación? Alrededor del 36 por ciento de las cinco familias de ransomware más comunes en el conjunto de datos estaban eliminando archivos. Si no pagaste, los archivos en realidad se estaban borrando. La mayor parte de la eliminación, de hecho, fue bastante directa.

¿Cómo podría una persona profesional hacer esto? En realidad, aspiran a limpiar el disco para que sea difícil recuperar los datos. Escribirías sobre el disco, borrarías ese archivo del disco. Pero la mayoría de ellos eran, por supuesto, flojos, y estaban trabajando directamente en las entradas de Master File Table y marcando cosas como eliminadas, pero los datos aún permanecían en el disco.

Posteriormente, los datos eliminados podrían recuperarse y, en muchos casos, recuperarse por completo.

Tácticas de Ransomware: entorno de escritorio

Otro comportamiento clásico de ransomware es bloquear el escritorio. Este tipo de ataque está presente en variantes más básicas. En lugar de continuar con el cifrado y la eliminación de archivos, el ransomware bloquea el escritorio, lo que obliga al usuario a salir de la máquina.

La mayoría de los usuarios toman esto como si sus archivos se hubieran ido (ya sea encriptados o eliminados por completo) y simplemente no se pueden recuperar.

Las infecciones de ransomware muestran notoriamente su nota de rescate. Por lo general, exige el pago del usuario para la devolución segura de sus archivos.

Además de esto, los desarrolladores de ransomware envían a los usuarios a páginas web específicas mientras desactivan ciertas características del sistema, por lo que no pueden deshacerse de la página / imagen. Esto es similar a un entorno de escritorio bloqueado. No significa automáticamente que los archivos del usuario se hayan cifrado o eliminado.

Piense antes de pagar

Una infección ransomware puede ser devastadora. Esto es indudable. Sin embargo, ser golpeado con ransomware no significa automáticamente que sus datos se hayan ido para siempre. Los desarrolladores de Ransomware no son todos increíbles programadores. Si hay una ruta fácil hacia una ganancia financiera inmediata, se tomará.

Esto, en el conocimiento seguro de que algunos usuarios pagarán debido a la amenaza inmediata y directa. Es completamente comprensible.

Los mejores métodos de mitigación de ransomware permanecen: haga una copia de seguridad de sus archivos regularmente en un disco que no sea de red, mantenga su suite de antivirus y navegadores de Internet actualizados, tenga cuidado con los correos electrónicos de phishing y sea sensato con la descarga de archivos de Internet.