De acuerdo con Check Point, los operadores ransomware están llevando a cabo las amenazas cada vez más peligrosas, pero, los investigadores de seguridad de Cisco Talos Labs han encontrado un método para luchar.
Como nunca antes, un reporte de Check Point, muestra un ejemplo de ransomware de la compañía Top Trree Global, y es Locky ransomware que contribuyó al 6% de los ataques totales detectados en todo el mundo en septiembre.
Cisco Talos ha publicado recientemente un controlador de filtro de disco de Windows que comprueba la existencia de programas que intentan reescribir el MBR (Master Boot Record ) de modo que puede bloquear tales programas. En consecuencia, el tipo de programas ransomware está bloqueado y no podrá conseguir atacar como también el cifrado de MBR.
Cuando Petya se descubrió en abril, F-Secure, la empresa de seguridad fue el primero en emitir una advertencia. Programas ransomware en general, sólo cifran archivos, pero hay una táctica independiente que utiliza Petia, que opera más como cualquier rootkit. Modifica MBR de un equipo infectado que obliga el reinicio del sistema. Cuando se reinicie, Petya bloquea la tabla maestra de archivos mediante el cifrado de la misma. Existe una tabla maestra de archivos dentro del disco duro de un ordenador.
El procedimiento de cifrado anterior ocurre más rápido en comparación con el ordinario de la dirección del archivo por archivo de otros programas ransomware. Petya deja apenas tiempo para la realización de una acción al problema y mucho menos tiempo para obtener ayuda. Darkreading.com ha publicado esto el 20 de octubre de 2016.
El nuevo filtro MBRFilter realiza de manera excelente la detención de todos los ataques ransomware y deja el MBR sin afectar. En el ensayo, el filtro plantó un instalador combinado de Petya+Mischa continuó con hacer clic pero no durante un mensaje de UAC. Por lo tanto, Mischa fue instalado efectivamente cifrando archivos de datos de la PC.
Pero MBRFilter no ha sido diseñado para frustrar tipos de Mischa ransomware. Sin embargo, cualquier intento de instalación de ransomware de sobrescribir el MBR, no tendrá éxito, entonces instala un software de rescate de archivos con cifrado.
Y aunque MBRFilter no vendrá en ayuda de las organizaciones en la erradicación de Locky, contiene otras funciones más allá de ransomware que son mas extensas.
MBRFilter funciona como un filtro de disco normal que utiliza los controladores classpnp y diskperf por ejemplo, de Microsoft. Sin embargo, debe ser utilizado después de probarlo a fondo en situaciones de producción, ya que se ha diseñado a propósito para ser difícil para ser eliminado.