Review del antiransomware avanzado RansomOff

El ransomware es como una pandemia que no ha dejado de expandirse cruelmente en los últimos años, dejándose notar en los bolsillos de personas, empresas y entidades públicas. El último de estos ataques ha costado a la ciudad de Baltimore 18 millones de dólares. Tardarán años en recuperarse de esto.

Lo normal con el ransomware es que la gente llegue tarde: no se hacen copias de seguridad o no se prueban, no se tiene conciencia de los vectores de entrada, no se protegen las redes lo suficiente o el software no se parchea. Hay un hilo en este mismo blog donde puedes ver amargos comentarios de los usuarios al respecto.

Contar con un antiransomware es, diría yo, una necesidad a día de hoy. Como poco algo recomendable. A pesar de que los antivirus y antimalware comunes suelen ya hoy en día proteger en parte contra estas amenazas, aún no veo que hayan llegado al nivel de efectividad de soluciones específicas.

RansomOff, más que un antiransomware

RansomOff es un antiransomware nacido ya hace dos años (2017) y que ha madurado bastante hasta convertirse en un producto avanzado, fiable y muy personalizable. Por supuesto también interesa conocer que es totalmente gratuito en entornos domésticos o con fines educativos, aunque no comerciales.

Es ideal para expertos o gente con algunos conocimientos en ciberseguridad, pero la buena noticia es que su modo simple lo hace manejable para casi cualquier usuario, protegiendo del ransowmare y otras amenazas de forma eficaz y silenciosa.

Características

• App Lockdown: el bloqueo de aplicaciones nos permite decidir que software debe ejecutarse en el equipo y cual no. Podemos recibir alertas por todos los procesos, nuevos procesos detectados, podemos excluir automáticamente los procesos firmados de Windows, excluir procesos firmados o avisarnos cuando cualquier proceso no firmado se intente ejecutar.
• Backup and restore: la última linea de defensa si el programa no es capaz de detener la amenaza. Los archivos protegidos son copiados a un área segura del equipo y podrán ser rescatados por el programa a petición.
• Protección de carpetas: podemos establecer controles avanzados sobre carpetas concretas, con las siguientes opciones: denegar, engañar (al proceso en cuestión), esconder, establecer como solo lectura, denegar ejecución.
• HIPS lite: Host Intrusion Prevention System es una capa adicional de seguridad que detecta al ransomware aún antes. Se enfoca en comparar patrones de comportamiento específicos del ransomware. También reconoce patrones comunes de otros tipos de malware.
• Conexión en red: mediante la conexión a Ransomoff Server el sistema reporta en todo momento su estado, patrones y amenazas a la consola central de administración, si decidimos configurar un servidor para ello.

• 

• 

• 

• 

• 

Personalización

RansomOff cuenta con una elevada capacidad de personalización y esto es algo que aumenta su potencia, aunque a muchos les resultará excesivo seguramente y prefieran no meterse a configurar demasiado.

• 

• 

• 

• 

• 

• 

Protection Settings es accesible desde el menú principal pulsando el candado. Desde ahí podemos desactivar completamente la protección antiransomware por el tiempo deseado. También vemos protección de MBR, aplicaciones, carpetas y el módulo HIPS.

Finalmente, en cada módulo, desde su menú correspondiente podemos pinchar y después personalizar el comportamiento.

Modos de funcionamiento

Durante la instalación del programa podemos establecer los modos de funcionamiento deseados: simple o avanzado. Podemos cambiar entre estos modos fácilmente tras la instalación.

Modo simple

El modo simple se establece por defecto si no cambiamos el ajuste durante la instalación. Sus características son las siguientes:

• Sin alertas
• Ajustes HIPS predefinidos
• Interfaz limitada en opcions
• Bloqueo automático de amenazas
• No se limpian amenazas automáticamente

Modo avanzado

El modo avanzado es claramente superior en opciones y nos ofrece todo el potencial de protección y configuración posibles. Todos los módulos de seguridad están disponibles y se recibirán alarmas cuando aparezca alguna amenaza.

Notas importantes

1. No estamos ante un antivirus o antimalware al uso. No se emplean firmas de patrones sino simplemente heurística, a base de mapear nuestro entorno de trabajo.
2. Para conseguir un mapeo eficaz, RansomOff necesita arrancar con Windows y estar siempre monitorizando la actividad. Si se cierra y después se arranca más tarde existirán lagunas en este mapa de comportamiento y esto afectará a la capacidad de decisión en el futuro. Lo mejor por tanto es que cuando la aplicación deje de responder o queramos reiniciarla, reiniciemos el equipo al completo.
3. No se recomienda desinstalar el programa con apps de terceros como Revo Uninstaller, porque podrían dejar el sistema inestable.

Test de efectividad antiransomware

Para determinar la efectividad general de esta suite de seguridad frente al ransomware he empleado una solución de simulación de patrones denominada RanSim. Esta herramienta permite ver si nuestro equipo es vulnerable al ransomware. Esta herramienta se actualiza con frecuencia y ha pasado en 3 años de incluir 5 patrones a 14.

Lo que hace básicamente es crear ficheros «cebo» e intentar llevar a cabo 14 ataques diferentes basados en patrones comúnmente conocidos de este tipo de malware.

Cabe destacar que dos de estos ataques no son tal, sino que son operaciones legítimas, de forma que también permite ver si la herramienta provoca falsos positivos. Estos incluyen un proceso de compresión con Gzip y un proceso de borrado de archivos.

Pruebas realizadas

• Aplicación configurada con ajustes avanzados y funcionando conjuntamente con Windows Defender.

• 

• 

Cuando aparece una ventana como la que he titulado «acciones de limpieza», RansomOff devuelve el sistema al estado previo a la infección: se borran archivos, claves de registro y tareas programadas que podrían haberse creado.

14 escenarios de 14 en los cuales la aplicación bloquea satisfactoriamente amenazas. Se producen dos falsos positivos.

Las pruebas se ejecutaron en una máquina virtual Windows 10 v1903 (la última versión final disponible) con 2,5 GB de RAM y 2 cores. RanSim requiere al menos un procesador con 2 núcleos reales o virtuales.

• Aplicación en modo autobloqueo, para simular el funcionamiento del modo simple. La única diferencia con el modo anterior es que solo tenemos la opción de limpiar. En este caso se ha desactivado Windows Defender completamente para comprobar el bloqueo del antiransomware.

Mismo escenario: 14 escenarios de 14 en los cuales la aplicación bloquea satisfactoriamente amenazas. Se producen dos falsos positivos de nuevo.

Para este último escenario desactivé la protección de carpetas, ante la sospecha de que fuera culpable de estos bloqueos. Al producirse el mismo resultado queda claro que la herramienta protege del ransomware de forma algo agresiva.

Personalmente prefiero esto a demasiada laxitud, en cualquier caso para minimizar las frustraciones en caso de bloqueo de apps legítimas os recomiendo desactivar el «autobloqueo» en la aplicación y funcionar con el modo avanzado. De esta manera controlamos el comportamiento ANTES de que se bloquee cualquier actividad.

Conclusiones

Estamos ante un antimalware, antiransomware muy recomendable por su potencia y personalización. Ideal para usuarios expertos, es lo suficientemente fácil para que usuarios noveles con un mínimo nivel de inglés puedan manejarlo y obtener proteccción.

Por supuesto entre sus atractivos están su precio (0 € si no es un entorno corporativo) y la posibilidad de conectar el cliente con RansomOff Server para administración remota de la seguridad. No dejes de consultar otras opciones alternativas analizadas previamente si quieres comparar.

Personalmente, pienso que es la solución antiransomware más completa que he probado hasta la fecha.