Antiransomware

Antiransomware


05/10/16. Beta 0.1

Latch ARW: Nueva herramienta de protección contra el Ransomware

En los últimos años se ha producido un auge de ataques de tipo RansomWare. Según la Wikipedia, “Un ransomware es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate”.

AntiRansomWare Tool es una herramienta que añade una capa de autorización en sistemas Windows sobre carpetas “protegidas”, además de los permisos existentes del sistema operativo, de forma que se deniega cualquier tipo de operación de escritura o borrado de los archivos. La autorización en este caso descansa en instancias de Latch por cada carpeta. Es decir, no se podrá modificar o eliminar ningún archivo de dichas carpetas si el Latch asociado está cerrado.

Si una carpeta está protegida con ARW, cualquier acceso de escritura o borrado será consultado a los servidores de Latch. Recibiendo las notificaciones correspondientes en el móvil el propietario mediante las Apps de Latch, y pudiendo abrir el Latch si fuese necesario realizar algún cambio. Este sistema permite de forma pro-activa proteger los archivos de secuestro por parte de un RansomWare o cualquier otro software malicioso. La herramienta si permite abrir en modo lectura los archivos para visualización, copiado, etc.

Cómo funciona

Latch ARW funciona como un driver de Windows en modo kernel que monitoriza las operaciones de I/O para identificar si se producen sobre una carpeta protegida y si son de escritura o borrado. El driver comunica a su vez con un servicio Windows que se encarga de consultar el estado de la autorización contra los servidores de Latch y llevar un inventario de carpetas protegidas. El interfaz de usuario de pareo y despareo, y proteger y desproteger una carpeta está integrado en el Explorador de Windows. Manejándose, de forma sencilla mediante menús contextuales directamente sobre las carpetas.

Como instalarlo

El setup de instalación realiza todos los pasos necesarios para aplicar los cambios necesarios en el equipo y eliminarlos en caso de querer desinstalar la herramienta. La instalación no requiere ningún tipo de información adicional. Una vez instalado se lanza el asistente de pareo para asociar el equipo a una cuenta de Latch.

Pareando con Latch

Lo primero de todo, se debe crear una cuenta Latch con un token de pareo. O bien al finalizar el Setup o en cualquier momento mediante el menú contextual del Explorador de Windows se puede lanzar el asistente de pareo.

Cómo añadir y configurar una carpeta protegida

Para añadir la protección a una carpeta se usa también el menú contextual del Explorador de Windows. Una vez protegida aparecerá una nueva instancia en la aplicación de Latch.

Una vez añadida se notifica el cambio al usuario a través de la aplicación móvil.

Cómo habilitar/deshabilitar las escrituras en una carpeta protegida

Una vez añadida la carpeta, queda protegida de modo que las operaciones de escritura y borrado serán denegadas. Para habilitar la escritura en la carpeta, se deberá usar la app móvil de Latch para desproteger la instancia correspondiente.

Para volver a deshabilitar las operaciones de escritura, se deberá usar la app móvil de Latch para proteger la instancia correspondiente a la carpeta en cuestión.

Cómo eliminar la protección de una carpeta

Para eliminar la protección de una carpeta se usa también el menú contextual del Explorador de Windows. Por motivos de seguridad, para poder eliminar la protección de una carpeta, el usuario deberá usar la app móvil de Latch para desproteger la instancia correspondiente a la carpeta.

Despareando de Latch

Por último, cuando se desee eliminar la protección del equipo o si se quiere asociar el equipo a otra cuenta de Latch, es posible lanzar el asistente de despareo mediante el menú contextual del Explorador de Windows. Por motivos de seguridad, previamente al despareo, el usuario deberá usar la app móvil de Latch para desproteger la operación “Unpair service” del servicio de antiransomware.

Aviso Legal

Esta es una versión beta de la herramienta que está todavía en proceso de Release oficial. Eleven Paths no garantiza la fiabilidad o usabilidad del software. Cualquier descarga del material se realiza bajo el riesgo del usuario, el cual será el único responsable de cualquier daño o pérdida de información. Esta versión puede incluir algunos bugs y falta de funcionalidad.