Mañana, JUEVES, 24 DE ABRIL, el sistema se apagará debido a tareas habituales de mantenimiento a partir de las 9 de la mañana. Lamentamos las molestias.
Ransomware: análisis y contramedidas
Author
Ruiz Muñoz, Jorge AntonioAdvisor
Arroyo, DavidEntity
UAM. Departamento de Ingeniería InformáticaDate
2017-06Subjects
Ransomware; Criptografía; Criptovirología; InformáticaEsta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercial-SinObraDerivada 4.0 Internacional.
Abstract
La proliferación de los ataques ransomware alrededor del planeta y el considerable aumento del alcance de los mismos, en especial aquellos que se basan en el cifrado de archivos, supone una de las amenazas digitales más graves en la actualidad. El número de personas y organizaciones afectadas y la cantidad de dinero perdido relativa está aumentando considerablemente. Por ello se torna necesario la utilización de herramientas para neutralizar estas amenazas.
Debido a esta necesidad nace el planteamiento de realizar un estudio y un análisis del funcionamiento general del ransomware y de las posibles formas de contrarrestarlo. Este estudio ha comprendido la historia del ransomware, desde su primera aparición en 1989 hasta su estado actual. También se ha analizado su modo de actuación, poniendo especial énfasis en las soluciones potenciales. El estudio del ransomware concluye con el análisis de su impacto en la sociedad actual.
Este análisis ha derivado en la creación de un sistema capaz de hacer frente a las amenazas anteriormente citadas. El sistema, que se implementará en Linux, se encargará de dotar al usuario de las herramientas necesarias para protegerse eficazmente contra los efectos de los ransomware. Dicho sistema consta de dos componentes:
Un módulo para la generación de backups de forma segura, consiguiendo que el usuario pueda salvaguardar sus ficheros. Además, también controlará que el usuario realice backups de forma periódica.
El segundo módulo consiste en un monitor que podrá escanear el sistema del usuario, analizando en tiempo real los programas que se están ejecutando, lo que habilitará la detección de programas con comportamiento similar al del ransomware. De modo más específico, esta metodología de detección de ransomware identifica cambios en ficheros mediante fuzzy hashing y dictamina si esos ficheros han sido cifrados evaluando la entropía de los mismos. La combinación del fuzzy hashing y del cálculo de entropía permite definir una métrica en base a la cual se concluye si hay un ataque de ransomware. En caso afirmativo, se elimina el proceso que cifró los ficheros y se deshabilita la conexión de red. De esta forma se impide la propagación del malware y se habilita la recuperación del sistema mediante el backup.
Finalmente, el presente proyecto sigue la metodología open source de desarrollo con objeto de proporcionar una solución frente al ransomware y, al mismo tiempo, facilitar la evaluación de la herramienta y su ulterior mejora. The ransomware attacks that spread around the world and the significant rise of their scope, especially those based on file encryption, are meant to be one of the most serious digital threats we have nowadays. The number of people and organizations affected and the amount of money loss are increasing substantially. Hence, it becomes necessary to use in order to counter these threats.
Due to this necessity, an approach to perform a study and an analysis of its general behavior and the possible countermeasures, to be protected against it effects, is created. Starting from its first emergence in 1989, to its present state, as well as it mode of operation, focusing on the potential solutions and to conclude with the effect of ransomware in present society.
This analysis has resulted in the building of a system capable of facing the abovementioned threats. The system, which will be deployed in Linux, will be responsible for the equipment of the user with the necessary tools in order to protect himself against the ransomware effects. To achieve so, it will be divided into two parts.
The first will be the backup safety generator, allowing the user to save his files. Furthermore, it will also control that the user makes these backups regularly.
The second, consisting of a monitor, will be able to scan the user´s system in real time and analyze the programmes which are running to finally detect those whose behavior is close to the ransomware´s. More specifically, this ransomware detection methodology recognizes file changes using fuzzy hashing and decide if that files have been ciphered evaluating their entropy. The combination of the entropy measure and the fuzzy hashing enables the creation of a metric to decide if the system is under a ransomware attack. If so, the cipher process will be removed safety, disabling the network. In this way, the system prevents the ransomware spread from continuing and it also allows the system to be recovered using the backup.
Finally, this project has been conducted according to the specifics of the open source methodology in order to foster protection means against ransomware and to enable the improvement of the provided tool by the open source community.
Files in this item
Google Scholar:Ruiz Muñoz, Jorge Antonio
This item appears in the following Collection(s)
Except where otherwise noted, this item's license is described as https://creativecommons.org/licenses/by-nc-nd/4.0/
Related items
Showing items related by title, author, creator and subject.
-
Mejorando el acceso, el análisis y la visibilidad de la información y los contenidos multilingües y multimedia en red para la Comunidad de Madrid
Verdejo Maillo, María Felisa; Martínez Unanue, Raquel; Cigarrán Recuero, Juan Manuel; Cigarrán Recuero, Víctor; García Serrano, Ana; Martínez Fernández, Paloma; Pardo Muñoz, José Manuel; Martínez, A.; Castells Azpilicueta, Pablo; Moreno Sandoval, Antonio; Toledano, Doroteo T.; Cantador Gutiérrez, Iván; Vallet Weadon, David Jordi; Duarte Muñoz, Abraham; Buenaga Rodríguez, Manuel de
2012-09 -
High-resolution hepatitis C virus subtyping using NS5B deep sequencing and phylogeny, an alternative to current methods
Quer, Josep; Gregori, Josep; Rodríguez-Frias, Francisco; Buti, Maria; Madejon, Antonio; Perez-del-Pulgar, Sofia; Garcia-Cehic, Damir; Casillas, Rosario; Blasi, Maria; Homs, Maria; Tabernero, David; Alvarez-Tejado, Miguel; Muñoz, Jose Manuel; Cubero, Maria; Caballero, Andrea; Campo, Jose Antonio del; Domingo, Esteban; Belmonte, Irene; Nieto, Leonardo; Lens, Sabela; Muñoz-de-Rueda, Paloma; Sanz-Cameno, Paloma; Sauleda, Silvia; Bes, Marta; Gomez, Jordi; Briones, Carlos; Perales, Celia; Sheldon, Julie; Castells, Lluis; Viladomiu, Lluis; Salmerón, Javier; Ruiz-Extremera, Angela; Quiles-Pérez, Rosa; Moreno-Otero, Ricardo; López-Rodríguez, Rosario; Allende, Helena; Romero-Gómez, Manuel; Guardia, Jaume; Esteban, Rafael; Garcia-Samaniego, Javier; Forns, Xavier; Esteban, Juan Ignacio
2015-01-01