¿Qué es un ransomware?
El ransomware es un tipo de amenaza destinada a «secuestrar» archivos en tu ordenador para posteriormente pedir un rescate a cambio del descifrado de los archivos. Actualmente muchas de las muestras de ransomware analizadas eliminan las instantáneas de sistema, entre otras acciones, por lo que recuperar los archivos cifrados se convierte a veces en una tarea casi imposible.
Ransomware: todo un modelo de negocio.
Por otra parte, el actual modelo de negocio de estas amenazas requiere que exista una forma de descifrar los archivos pagando. En estos casos la víctima se da cuenta que pagando pueden recuperar sus archivos y los malos se frotan las manos… En otras variantes de ransomware, el precio del rescate aumenta en función del tiempo que tardes en pagar. Variantes como, por ejemplo, Jigsaw ejercen más presión sobre el usuario borrando permanentemente ficheros cada hora.
Dolbuck Lab: investigando el ransomware Locky
En Dolbuck Lab nos hemos dedicado a investigar este tipo de amenazas para tratar de buscar soluciones o al menos algunas alternativas que nos permitan tener una «escapatoria» para esta clase de amenazas.
Durante la investigación al ransomware Locky se pudieron observar acciones que eliminan todas las instantáneas de sistema. Concretamente lanza una orden al ejecutable vssadmin.exe que elimina todas las instantáneas de sistema. Esta instrucción prevendría que la víctima pudiese recuperar nada de su sistema mediante instantáneas. Una de las cosas más alarmantes que se pudo observar es que a este archivo se puede acceder desde un usuario normal de sistema, sin tener necesidad de ejecutarlo con elevación de privilegios. Esta característica es bastante peligrosa y puede permitir que un script ejecutado desde nuestra cuenta de usuario y sin privilegios de administrador pueda eliminar todas las instantáneas de sistema sin problemas.
Nuestro parche.
En vista del daño que esto puede hacer en el sistema, en Dolbuck Lab hemos ideado un pequeño parche para este tipo de instrucciones que evita que un programa malicioso ejecute satisfactoriamente la instrucción que elimina las instantáneas de sistema. Gracias a esto, si el malware infecta un sistema, se podría recurrir a la recuperación del mismo mediante instantáneas de sistema.
Para que el parche cumpla adecuadamente su función se deben configurar primero las instantáneas de sistema, para posteriormente proteger vssadmin con el parche.
Habilitando y parcheando instantáneas de sistema.
Para habilitar las instantáneas de sistema en Windows 7 debemos irnos al administrador de sistema (botón secundario en sistema y click en propiedades). Una vez ahí, hacemos click en Protección del sistema y seguidamente hacemos click en Configurar (en la parte de abajo, encima del botón para crear instantáneas). Dentro de esta configuración debemos seleccionar Restaurar sólo versiones anteriores de archivos y carpetas para poder recuperar posteriormente todos los archivos que nos cifre el ransom.
También debemos modificar el porcentaje del disco que irá destinado a las copias de seguridad, dependiendo del volumen de archivos que vayamos a almacenar necesitaremos más porcentaje de disco para destinar a backup. Ahora aplicamos la configuración y creamos un punto de restauración.
Una vez hayamos configurado las copias y asignado el tamaño en disco:
nos descargamos el parche del GitHub de Dolbuck Lab
ejecutamos el parche en modo administrador (Botón secundario y ejecutar como administrador)
le damos al botón patch.
Si deseamos devolver vssadmin a su estado original tan sólo debemo hacer click en unPatch.
La división de Ciberseguridad de Dolbuck SL es la encargada de llevar a cabo este tipo de parches para ransomware.