dijous, 23 de juny del 2016

                                               Software anti-Ransomware Esquer

1 Introducción i propósito
2 Requerimientos
3 Funcionamiento general
3.1 Sin dominio
3.2 Dominio (fácil)
                3.3 El correo
4 Estructura de funcionamiento
                4.1 Archivo CSV lista de archivos anzuelo
                4.2 Opciones de arranque
                4.3 Otros detalles técnicos
5 Link, versión y hash



1 Introducción i propósito

Tras las masivas infecciones de virus tipo Ransomware sufridas en los últimos meses se ha creado este software como respuesta a las necesidades de los usuarios. La finalidad de este software es evitar la mayor cantidad de daños posible en caso de infección. Por otra parte, también está preparado para entornos empresariales ya que contempla la posibilidad de ser ejecutado en computadoras en dominio.

2 Requerimientos

Se trata de un ejecutable compilado en .NET 4.5, que hace uso de otras librerías ya incluidas en el sistema para diferentes funciones:

3 Funcionamiento general

La idea base es dejar archivos susceptibles de ser eliminados por algún posible Ransomware, en ubicaciones donde habitualmente atacan este tipo de virus. Este programa realiza comprobaciones cada segundo, y realiza las acciones que se deseen en caso de echarlos en falta.

Se puede disponer el ejecutable en cualquier sitio, en la primera puesta en marcha se podrá ver la ventana de configuración:


ATENCIÓN: el comportamiento en este punto difiere mucho si se escoge dominio!

Para la mayoría de usuarios domésticos solo con pulsar ‘Guardar y continuar’ se finaliza la configuración e instalación sin necesidad de pulsar nada más.

Pero en este punto se puede establecer el funcionamiento al respecto de: correo electrónico, apagado de máquina, alerta y desconexión de red. Por un lado, cabe mencionar que el correo electrónico solo se activa si se especifican los parámetros, ya que si falta alguno se ignorara esta funcionalidad. Por otro, se dispone de casillas clicables para decidir el resto de funcionalidades. Cuando se pulsa ‘Guardar y continuar’, se crea el archivo de configuración ‘Esquer.xml’ en el que se guarda la configuración. Para volverla a escribir solo hay que eliminar este archivo.

3.1 Sin dominio (fácil)

Al pulsar ‘Guardar y continuar’ también se crean archivos anzuelo ‘Archivo anzuelo antivirus no tocar’ en el escritorio, mis documentos i mis imágenes. Este programa también se registra a sí mismo en el arranque de la máquina, se pondrá en marcha cuando el usuario inicie sesión (entre al escritorio). Y finalmente se pone en marcha en segundo plano (escondido).

3.2 En dominio

Al pulsar ‘Guardar y continuar’ solo se crea el archivo de configuración ‘esquer.xml’, y no podrá iniciarse si no se crea manualmente el archivo CSV en el que reside la lista de archivos a comprobar. Para crear este archivo ver ‘Estructura de funcionamiento’

3.3 El correo

En el caso que se disponga de una cuenta de correo correctamente configurada este va a enviar detalles de los sucesos importantes al respecto:
En caso de no poder ponerse en marcha por falta de archivos anzuelo se envía un correo informando.
En caso de que falten archivos se envía un correo con los nombres de todos los procesos activos en el momento, y datos de la computadora en cuestión.

4 Estructura de funcionamiento

4.1 Archivo CSV lista de archivos anzuelo

Se trata de un archivo tipo CSV en dos columnas separadas por una coma simple, en el que la primera columna se puede poner cualquier valor Enumeration.SpecialFolder, los posibles valores los puedes encontrar en (Member name):

https://msdn.microsoft.com/en-us/library/system.environment.specialfolder(v=vs.110).aspx

La segunda columna debe contener el nombre del archivo a comprobar, si se encuentra situado en una subcarpeta debe empezar con el nombre de esta sin barra.

Archivo de ejemplo:
-------------------------- 
# comentario
MyDocuments,Archivo anzuelo antivirus no tocar.docx
Desktop,Archivo anzuelo antivirus no tocar.pdf
MyPictures,Archivo anzuelo antivirus no tocar.jpg
---------------------------

4.2 Opciones de arranque

Opción ‘desactiva’ quita el ejecutable de la lista de aplicaciones registradas en el arranque de Windows.

En cualquier otro caso, el primer parámetro se usa para localizar un archivo de configuración  'xml' alternativo.

4.3 Otros detalles técnicos

Registro de arranque: Se situa en HKLM//SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
Para pararlo manualmente se hace pulsando ‘Finalizar tarea’ en:



Recordar que si se escoge ‘desactivar red’ de deshabilitan TODOS los adaptadores de red del Windows en cuestión.

5 Link, versión y hash

Link: https://drive.google.com/open?id=0B3aOqYhJDv6LZGt3U2dVVWVpOVk

Versión: 1.10.0.4, fecha: 1/7/2016

Hash: 35FAC2686638E174E7C64F9813F4EA2A8968627784EE52FE643C7E73148190F6
Algorithm: SHA256
        

Comprueba la version en powershell:
Get-FileHash .\Esquer.exe


Publicat per a Cap comentari:
Subscriure's a: Missatges (Atom)