El ransomware sigue siendo un gran problema entre los usuarios de sistemas Microsoft Windows. Con la simple idea de ser un programa que se ejecuta con los privilegios de la cuenta del usuario para buscar todos los documentos y cifrarlos, ha hecho de la extorsión un verdadero negocio, llegando a afectar a empresas y organizaciones como Hospitales.

El concepto es sencillo y se basa en la idea de proteger carpetas utilizando Latch como 2º Factor de Autorización para permitir que el documento sea accesible o no por los programas – y por ende por cualquier programa malicioso como un ransomware.

Latch ARW funciona como un driver de Microsoft Windows en modo kernel que monitoriza las operaciones de I/O para identificar si se producen sobre una carpeta protegida y si son de escritura o borrado. El driver comunica a su vez con un servicio de Microsoft Windows que se encarga de consultar el estado de la autorización contra los servidores de Latch y llevar un inventario de carpetas protegidas.

El interfaz de usuario de pareo y despareo, y proteger y desproteger una carpeta está integrado en el Explorador de Microsoft Windows. Manejándose, de forma sencilla mediante menús contextuales directamente sobre las carpetas. Con esta arquitectura nos quedamos muy satisfechos del resultado que funciona tal y como se puede ver en el siguiente vídeo.

En el proceso que se muestra en el vídeo, una vez que las carpetas están protegidos con Latch, los archivos están disponibles para lectura, pero no para borrado o escritura, lo que hace que el proceso sea bastante usable. Además, si un ransomware quisiera quitar la protección de Latch ARW, no podría hacerlo porque está protegido por el propio Latch, así que si el usuario no abre el pestillo el documento está a salvo.

Por supuesto, quisimos probarlo en un entorno real, así que le lanzamos una decena de muestras de ransomware para ver el comporamiento de Latch ARW con todos ellos y el resultado fue más que satisfactorio, ya que ninguno fue capaz de tocar ni uno solo de los documentos que estaban en las carpetas protegidas.

Una opción más que interesante es proteger las carpetas donde guardas tus copias de seguridad con Latch, ya que puedes de esta forma controlar en todo momento que nadie pueda escribir en ellas. Cuando llegue el momento de hacer una nueva copia de seguridad, abres el pestillo, la haces, y vuelves a cerrar el pestillo después para que todo siga protegido.

Latch ARW es una herramienta gratuita como Latch para Windows o Latch para WordPress, así que podrás usarlo. Aún está en fase beta, por lo que si localizas cualquier cosa te agradeceremos que nos lo comuniques a través de nuestra Comunidad de ElevenPaths.

Para evitar este tipo de infecciones sería aconsejable fortalecer la seguridad de la empresa. ¿Cómo fortalecer la seguridad en la empresa?

Fuente noticia: http://blog.segu-info.com.ar/
Fuente foto: elevenpaths.com