¿También sería posible una aplicación RansomWhere para Windows?

Navega tus respuestas
1

Esto está relacionado con RansomWhere? que es una defensa específica de OS X desarrollada por un ex empleado de la NSA. La premisa es que "genéricamente" evitará que el ransomware cifre archivos en el sistema operativo.

  

Ámbito de aplicación

     

RansomWhere? solo supervisa los directorios personales de todos los usuarios (es decir, cualquier cosa   bajo ~, para todos los usuarios) para archivos encriptados. Así si el ransomware   Cifra archivos fuera de estos directorios, RansomWhere? puede fallar   detectarlo y bloquearlo.

Está permitido ejecutarse e instalarse ya que está firmado por Apple y confía en:

  

Confianza

     

RansomWhere? Confía explícitamente en los binarios firmados por Apple   (aunque no los firmados con un ID de desarrollador de Apple). Como tal, si   ransomware abusa de un binario de Apple firmado (o proceso, tal vez a través de   inyección), RansomWhere? No detectaría esto. Por otra parte, la herramienta.   Confía intrínsecamente en las aplicaciones que ya están presentes en el sistema.   cuando se instala Así es que el ransomware ya está presente en el   sistema (antes de que se instale RansomWhere?), es posible que no se detecte.

Ahora esto está bien y probablemente sea bueno, ya que la premisa es:

  

¡Intentemos frustrar genéricamente el ransomware OS X a través de las matemáticas!

Ahora la pregunta es: "¿Se podría desarrollar una aplicación similar para Windows?"

Parece que hay una lista blanca de aplicaciones / procesos realizada donde se establece una línea de base durante la instalación. Pero hay una adición bastante importante de poder confiar en instalaciones firmadas, ¿es factible en Windows?

    
pregunta RLFP 21.04.2016 - 08:45
fuente

2 respuestas

1

Ya está hecho, actualmente está en versión beta.

Eche un vistazo a: Malwarebytes Anti Ransomware Beta .

Anteriormente se llamaba CryptoMonitor desarrollado por EasySync Solutions, propiedad de Nathan Scott. Nathan fue recientemente contratado para abrir la herramienta Anti Ransomware para Malwarebytes.

    
respondido por el Danny. 21.04.2016 - 09:02
fuente
0

Por supuesto, es posible y ya está en desarrollo como lo señaló @Danny y puedes asumir que algunos grandes vendedores seguirán.

Pero, de hecho, esto no es más que otra solución antivirus basada en el comportamiento. Es el mismo juego que con cualquier otra solución de protección:

Se está desarrollando y desplegando, se mitigarán algunos ataques, los atacantes verán la aplicación para evitar la protección y todo comienza desde el principio.

De hecho, cada software, especialmente uno tan complejo y altamente privilegiado como la protección antivirus, aumentará la superficie de ataque. Allí estaban many cases in the pasado (para que más fuentes tengan una búsqueda en la web) donde la solución de protección tenía vulnerabilidades.

    
respondido por el Noir 21.04.2016 - 10:40
fuente

Lea otras preguntas en las etiquetas

Modelado de amenazas: ¿por qué un punto final remoto https sería propenso a la escalada de privilegios? ¿Por qué no se muestra la revocación enviada a los servidores de claves OpenPGP?