Este tipo de malware suele ejecutarse casi siempre desde una lista de directorios temporales y trabaja en ellos para obtener la clave y generar los ficheros necesarios para la comunicación con el servidor. Por lo tanto, si bloqueamos los permisos sobre dichos directorios, el ransomware no podrá ejecutarse, quedando nuestro sistema protegido.

Crear nueva directiva de seguridad en Windows para proteger del ransomware

  • Para bloquear el acceso a estos directorios vamos a aprovechar las directivas de seguridad de Windows. Para ello según el sistema operativo empleado haremos lo siguiente:

En Windows 10

  • Abrimos el menú configuración y en el recuadro que dice “Buscar una configuración” introducimos el texto “Herramientas administrativas”, seleccionando la opción encontrada y después del menú que aparece, buscaremos la “Directiva de Seguridad Local” seleccionándola igualmente.

En Windows anteriores:

  • Abrimos el Panel de Control y en el apartado de Sistema y Seguridad > Herramientas administrativas buscaremos la Directiva de Seguridad Local.

Después el procedimiento a seguir es similar para todas las versiones.

En esta ventana seleccionamos la ruta “Reglas adicionales” y, en el apartado central, pulsamos con el botón derecho debajo de las dos reglas existentes por defecto y elegimos “Regla de nueva ruta de acceso” para crear, una a una, las siguientes entradas:

Directivas de seguridad local en Windows

  1. %AppData%\*.exe – “No permitido”
  2. %AppData%\*\*.exe – “No permitido”
  3. %LocalAppData%\*.exe – “No permitido”
  4. %LocalAppData%\*\*.exe – “No permitido”
  5. %ProgramData%\*. exe – “No permitido”
  6. %Temp%\*.exe – “No permitido”
  7. %Temp%\*\*.exe – “No permitido”
  8. %LocalAppData%\Temp\*.zip\*.exe – “No permitido”
  9. %LocalAppData%\Temp\7z*\*.exe – “No permitido”
  10. %LocalAppData%\Temp\Rar*\*.exe – “No permitido”
  11. %LocalAppData%\Temp\wz*\*.exe – “No permitido”
  12. %ProgramData%\*. exe – “No permitido”

Una vez creadas todas las reglas reiniciamos el ordenador para que se apliquen correctamente y listo. En caso de ser víctima de una amenaza cuyo binario se ejecute desde alguna de las rutas anteriores, esta quedará automáticamente bloqueada, asegurando nuestros datos y evitando un mal mayor.

Esta medida de seguridad no solo afecta al ransomware, sino que también será eficaz con todo el malware (virus, troyanos, etc) que se intente ejecutar desde cualquiera de las rutas anteriores.

Este sistema de protección contra el ransomware no es perfecto

  • Como se indica en el título del post, este sistema nos protegerá aproximadamente del 90% de las amenazas, sin embargo, hay otras herramientas maliciosas que se ejecutan desde otros directorios, por lo que que debemos continuar utilizando antivirus para llegar al 99,99% ( los que nos  dedicamos a la informática decimos que la seguridad absoluta no existe).
  • También indicar que bloquear los permisos sobre estos directorios puede hacer que algunas aplicaciones no se ejecuten correctamente. Tal como indica la fuente, un ex-miembro de 21A Labs, de más de 300 aplicaciones probadas solo ha dado problemas Spotify, nada grave teniendo en cuenta que podemos copiar su carpeta a otro directorio y este seguirá funcionando sin problemas de forma portable.

Recomendación

  • Por prevención, es siempre necesario hacer copia de seguridad de nuestros archivos.

Fuente: Redeszone.net

Anuncios