Ya hemos visto en el blog varias contramedidas para detener el ransomware cuando empieza con el proceso de cifrado de los archivos de la víctima, pero nunca está de más ver más herramientas y hoy les vamos a mostrar un script en powershell publicado directamente en Microsoft.

Se trata de PROTEIN ("PROTEcting your INformation - AntiRansomware") de Amador Pérez Trujillo alias @c0p3rnic0 que monitoriza activamente los archivos de un repositorio en busca de la actividad de ransomwares. Sus características principales (algunas todavía por implementar y/o mejorar) son:

- captura la acción de la creación de nuevos archivos, analizándolos y determina si son válidos o no para la empresa.
- identifica archivos conocidos (lista blanca), amenazas potenciales (lista negra) así como archivos desconocidos para su posterior procesamiento.
- registra cada acción de creación de archivos en el servidor.
- permite enviar alertas por correo electrónico a un administrador cuando se detecta un nuevo ransomware.
- también permite alertar directamente en pantalla a un usuario cuando se detecta un nuevo ransomware.
- desactiva el usuario de dominio afectado por ransomware, impidiendo el acceso al repositorio por el ransomware o a otros objetos críticos del sistema.
- desactiva la NIC del usuario afectado por el ransomware para bloquear el acceso a la red.

Instalación:

    ./protein.ps1 --install (selecciona el directorio a monitorizar, la ruta y el nombre de fichero de log y el email del administrador para alertas)
    ./protein.ps1 --configure(reconfigura las rutas o los directorios para monitorizar y para almacenar los logs, cambia el email)
   
Parámetros:

--monitor : empieza a monitorizar los directorios
--path: muestra en consola las rutas configuradas
--logs: muestra en consola los logs

Demos:


Descarga: https://github.com/c0p3rnic0/PROTEIN/archive/master.zip
Fuente: https://github.com/c0p3rnic0/PROTEIN
Via: www.hackplayers.com