Cómo protegerte del 90% del ransomware sin necesidad de un antivirus

Share this…

No podemos negar que le ransomware es, a día de hoy, el tipo de malware más peligroso de toda la red. Este malware, que por desgracia ha ganado un gran protagonismo en los últimos años, cifra los datos personales de sus víctimas de manera que, para poder recuperarlos, la víctima debe pagar un “rescate” por ellos o, de lo contrario, se perderán para siempre. El complejo funcionamiento de un ransomware hace que sea muy complicado de detectar por los sistemas antivirus, incluso utilizando el análisis por comportamiento, por lo que, aunque tengamos un antivirus actualizado a la última versión, no podemos estar seguros de evitar una infección.

La mayoría del malware, por lo general, está basado en otro malware, por lo que muchas veces el comportamiento de este es muy similar al de otros. Obviamente, con el ransomware pasa lo mismo. Este tipo de malware suele ejecutarse casi siempre desde una lista de directorios temporales y trabaja en ellos para obtener la clave y generar los ficheros necesarios para la comunicación con el servidor. Por lo tanto, si bloqueamos los permisos sobre dichos directorios, el ransomware no podrá ejecutarse, quedando nuestro sistema protegido.

Para bloquear el acceso a estos directorios vamos a aprovechar las directivas de seguridad de Windows. Para ello, abrimos el Panel de Control y en el apartado de Sistema y Seguridad > Herramientas administrativas buscaremos la Directiva de Seguridad Local.

En esta ventana seleccionamos la ruta “Reglas adicionales” y, en el apartado central, pulsamos con el botón derecho debajo de las dos reglas existentes por defecto y elegimos “Regla de nueva ruta de acceso” para crear, una a una, las siguientes entradas:

Directivas de seguridad local en Windows

  • %AppData%\*.exe – “No permitido”
  • %AppData%\*\*.exe – “No permitido”
  • %LocalAppData%\*.exe – “No permitido”
  • %LocalAppData%\*\*.exe – “No permitido”
  • %ProgramData%\*. exe – “No permitido”
  • %Temp%\*.exe – “No permitido”
  • %Temp%\*\*.exe – “No permitido”
  • %LocalAppData%\Temp\*.zip\*.exe – “No permitido”
  • %LocalAppData%\Temp\7z*\*.exe – “No permitido”
  • %LocalAppData%\Temp\Rar*\*.exe – “No permitido”
  • %LocalAppData%\Temp\wz*\*.exe – “No permitido”
  • %ProgramData%\*. exe – “No permitido”

Crear nueva directiva de seguridad en Windows para proteger del ransomware

Una vez creadas todas las reglas reiniciamos el ordenador para que se apliquen correctamente y listo. En caso de ser víctima de una amenaza cuyo binario se ejecute desde alguna de las rutas anteriores, esta quedará automáticamente bloqueada, asegurando nuestros datos y evitando un mal mayor.

Esta medida de seguridad no solo afecta al ransomware, sino que también será eficaz con todo el malware (virus, troyanos, etc) que se intente ejecutar desde cualquiera de las rutas anteriores.

Este sistema de protección contra el ransomware no es perfecto

Como hemos indicado en el título del artículo, este sistema nos protegerá aproximadamente del 90% de las amenazas, sin embargo, hay otras herramientas maliciosas que se ejecutan desde otros directorios, por lo que la protección nunca va a ser del 100%.

También indicar que bloquear los permisos sobre estos directorios puede hacer que algunas aplicaciones no se ejecuten correctamente. Tal como indica la fuente, un ex-miembro de 21A Labs, de más de 300 aplicaciones probadas solo ha dado problemas Spotify, nada grave teniendo en cuenta que podemos copiar su carpeta a otro directorio y este seguirá funcionando sin problemas de forma portable.

Recordamos que, para prevenir, debemos tener siempre una copia de seguridad de nuestros archivos.

Queremos agradecer al ex-miembro anónimo de 21A Labs por compartir con nosotros, en SoftZone, esta configuración.

Fuente:https://www.redeszone.net/