Desarrollan una "vacuna" que evitará que los 'hackers'' puedan secuestrarte el PC

Los ataques de ransomware son una de las pesadillas de las grandes corporaciones. Da igual si se trata de instituciones públicas, o sanitarias, o empresas gigantes y pequeñas, incluso usuarios autónomos que tienen todo su negocio digitalizado en un PC, que con un único empleado que cometa un pequeño error, pueden ver comprometido todo su sistema informático así como toda la información que vienen almacenando en sus servidores a lo largo de los años.

Es por eso que los equipos de seguridad de esas organizaciones invierten muchísimo dinero en protegerse ante posibles secuestros de sus ordenadores para evitar, por ejemplo, lo ocurrido este año con Garmin o, más recientemente, con Adeslas, que todavía intenta superar un proceso que le ha llevado a no tener operativa buena parte de su estructura informática. Ahora bien, no penséis que estos ataques se llevan a cabo simplemente para provocar daños y ya está, detrás de ellos está la intención de cobrar cuantiosos rescates por volver a liberar los ordenadores y dejar la información almacenada tal cual se la encontraron.

¿Una vacuna contra el ransomware?

Eso es exactamente lo que acaban de publicar en GitHub, donde se ha desvelado un curioso programa de código abierto que es capaz de detener por completo todos los procesos de ransomware que se encargan de eliminar volúmenes completos a través del programa de Microsoft vssadmin.exe.

El procedimiento que sigue esta vacuna no es tanto enfrentarse cara a cara contra el código que provoca el ataque de ransomware como prevenir que intente hacerlo. Por esa razón, crea de manera intensiva copias de seguridad de todo el sistema (shadow copys) y los archivos que tenemos almacenados en él, por lo que se blinda completamente ante los hackers. De esta forma, aunque los atacantes intenten eliminar esas shadow copys no tendrán acceso a ellas por la actuación de la vacuna.

Es más, la propia vacuna es la que se encarga de verificar si se han producido cambios en los datos almacenados en los discos duros y los reintegra a su estado original, de tal forma que el proceso de secuestro se detiene en seco. Desde la página de GitHub en la que se ha publicado esta Raccine (vacuna contra ransomware) explican que "Vemos que el ransomware elimina todas las shadow copy usando vssadmin con bastante frecuencia. ¿Qué pasaría si pudiéramos interceptar esa solicitud y eliminar el proceso de invocación?". Pues la respuesta es esta vacuna.

Esta Raccine utiliza un sistema muy inteligente para ejecutarse de manera paralela a vssadmin.exe., de tal forma que cuando alguien intenta poner en marcha ese ejecutable de Microsoft, la vacuna también lo hace y detiene el proceso que elimina esos volúmenes, o encripta todos los datos almacenados. Esta reacción se produce tan rápidamente que frena el intento de secuestro, incluso, antes de que el propio ransomware pueda empezar a hacer su trabajo.

Esta vacuna de código abierto se puede instalar a partir de un sencillo ejecutable y, posteriormente, modificar unas pequeñas líneas en el archivo de registro de Windows para unir su funcionamiento al de vssadmin.exe que es, como os recordamos anteriormente, el principal programa al que acuden los hackers cuando quieren secuestrarnos el ordenador.