¿Cómo combatir Doxware?

4

Aparentemente hay muy poca información disponible sobre la aparición del ransomware; doxware.

Solo pude encontrar un par de artículos de noticias que sugieren que Doxware cifra sus archivos, pero también los copia al atacante.

El software anti ransomware actual (del lado del servidor) inicia un cliente cuando detecta que se están cambiando muchos nombres de archivos. Esto evitará que sus archivos se cifren, pero no protege los archivos que se copian a un atacante.

Leí que las variantes de Doxware hasta ahora solo se han usado en ataques dirigidos. Sin embargo, es muy fácil integrar Doxware en malware automatizado. De hecho, me sorprende que aún no haya habido ataques muy grandes y automatizados.

¿Cómo defiendes contra el doxware (excepto por entrenar a tus usuarios para que no hagan clic en correos electrónicos deshonestos)?

    
pregunta jortiexx 12.01.2018 - 11:21
fuente

1 respuesta

3

Usted se defiende contra acciones maliciosas identificando primero esas acciones maliciosas. El ransomware puede mostrarse mediante un alto número de acciones de "cambio de nombre". Esa es una forma rápida y fácil de identificar acciones maliciosas que probablemente no sean legítimas.

Si Doxware no hace esto, entonces sí, necesita otro "indicador de compromiso" para buscar. Al igual que muchos otros programas maliciosos, buscar una gran cantidad de acceso a archivos y un gran ancho de banda saliente puede ser una forma de hacerlo.

Al igual que con el ransomware, los procesos y las aplicaciones de la lista blanca pueden bloquear las infecciones antes de que ocurran.

Creo que la razón por la que no estamos viendo un gran brote de este tipo de ataque es porque un atacante oportunista no va a tener los recursos para manejar los archivos de un millón de usuarios, y tratar de recopilarlos todos los haría sobresalir En Internet (altos volúmenes de tráfico). Por lo tanto, serán ataques dirigidos donde se usaría esto. Pero eso no es nada nuevo . Muchos malware han existido durante mucho tiempo que hacen esto (RAT es el primero que viene a la mente).

La variante más peligrosa es un 'doxware' que solo busca un archivo en particular o un conjunto pequeño. Esto sería imposible de detectar.

    
respondido por el schroeder 12.01.2018 - 11:32
fuente

Lea otras preguntas en las etiquetas