Este tipo de malware suele ejecutarse casi siempre desde una lista de directorios temporales y trabaja en ellos para obtener la clave y generar los ficheros necesarios para la comunicación con el servidor. Por lo tanto, si bloqueamos los permisos sobre dichos directorios, el ransomware no podrá ejecutarse, quedando nuestro sistema protegido.
Crear nueva directiva de seguridad en Windows
para proteger del ransomware
Para bloquear el acceso a estos directorios vamos a aprovechar las directivas de seguridad de Windows. Para ello según el sistema operativo empleado haremos lo siguiente:
En Windows 10
- Abrimos el menú configuración y en el recuadro que
dice “Buscar una configuración” introducimos el texto “Herramientas
administrativas”, seleccionando la opción encontrada y después del menú
que aparece, buscaremos la “Directiva de Seguridad Local” seleccionándola
igualmente.
En Windows
anteriores:
- Abrimos el Panel de Control y en el apartado de
Sistema y Seguridad > Herramientas administrativas buscaremos la
Directiva de Seguridad Local.
Después el
procedimiento a seguir es similar para todas las versiones de windows:
En esta ventana seleccionamos la ruta “Reglas adicionales” y, en el apartado central, pulsamos con el botón derecho debajo de las dos reglas existentes por defecto y elegimos “Regla de nueva ruta de acceso” para crear, una a una, las siguientes entradas:
Directivas de seguridad local en Windows:
- %AppData%\*.exe – “No permitido”
- %AppData%\*\*.exe – “No permitido”
- %LocalAppData%\*.exe – “No permitido”
- %LocalAppData%\*\*.exe – “No permitido”
- %ProgramData%\*. exe – “No permitido”
- %Temp%\*.exe – “No permitido”
- %Temp%\*\*.exe – “No permitido”
- %LocalAppData%\Temp\*.zip\*.exe – “No permitido”
- %LocalAppData%\Temp\7z*\*.exe – “No permitido”
- %LocalAppData%\Temp\Rar*\*.exe – “No permitido”
- %LocalAppData%\Temp\wz*\*.exe – “No permitido”
- %ProgramData%\*. exe – “No permitido”
Una vez creadas todas las reglas reiniciamos el ordenador
para que se apliquen correctamente y listo. En caso de ser víctima de una
amenaza cuyo binario se ejecute desde alguna de las rutas anteriores, esta
quedará automáticamente bloqueada, asegurando nuestros datos y evitando un mal
mayor.
Esta medida de seguridad no solo afecta al ransomware, sino que también será eficaz con todo el malware (virus, troyanos, etc) que se intente ejecutar desde cualquiera de las rutas anteriores.
Este sistema de protección contra el
ransomware no es perfecto
- Como se indica en el título del post, este sistema
nos protegerá aproximadamente del 90% de las amenazas, sin embargo, hay
otras herramientas maliciosas que se ejecutan desde otros directorios, por
lo que que debemos continuar utilizando antivirus para llegar al 99,99% (
los del sector de la
informática decimos que la seguridad absoluta no existe).
- También indicar que bloquear los permisos sobre
estos directorios puede hacer que algunas aplicaciones no se ejecuten
correctamente. Tal como indica la fuente, de
más de 300 aplicaciones probadas solo ha dado problemas Spotify, nada
grave teniendo en cuenta que se puede copiar su carpeta a otro directorio y
este seguirá funcionando sin problemas de forma portable.
Recomendación
- Por prevención, es siempre necesario hacer copia de
seguridad de nuestros archivos.