Con Windows 7 no me va muy bien. Duro, sin ayuda y con muchas ganas de solucionarlo. A partir de la captura de los eventos producidos en el repositorio, evalúa si los ficheros creados son confiables. En el caso contrario actúa alertando al administrador de sistemas, instructions microsoft word 2010 la cuenta de usuario del dominio y deshabilitando la tarjeta de red de la máquina infectada para detener su propagación.

El fichero que contiene la lista de extensiones en texto plano es ransomware_list. Alerta por correo electrónico al administrador de sistema. Bloquea el usuario del directorio activo que está siendo utilizado por el ransomware para cifrar la información. Deshabilita la tarjeta de red del ordenador del usuario infectado para evitar la propagación del ransomware incluso reiniciando el sistema así como cortando cualquier conexión con Internet bloqueando la descarga de claves para cada fichero infectado con la automática desactivación del ataque. Alerta al usuario de que ha sido infectado por un ransomware mediante un mensaje emergente.

Este listado se encuentra almacenado en el archivo “white_list. Por el otro analizando la lista de extensiones conocidas. Podemos observar como detecta el fichero como un ransomware e informa que se ha bloqueado, deshabilitado el usuario que está utilizando el ransomware para cifrar la información y por último informa que ha deshabilitado su tarjeta de red. Esta Clase escucha las notificaciones de cambio del sistema de archivos y genera eventos cuando cambia un directorio o un archivo de un directorio. Aprovechando esta funcionalidad, capturamos estos eventos y cuando se cree un archivo lo analizamos para ver si es un ransomware o no.

Desde este enlace podéis descargar la herramienta tanto compilado en . Se ha descubierto un nuevo ransomware llamado Locky que cifra los datos utilizando cifrado AES exigiendo 5 bitcoins para descifrar los archivos. Locky actualmente está siendo distribuido a través de correo electrónico que contiene un archivo adjunto de Word con macros maliciosos. Por favor, vea la factura adjunta y remitir el pago según los términos que figuran en la parte inferior de la factura”. El fichero adjunto a este correo electrónico es un documento de Word malicioso que contiene un nombre similar a invoice_J-17105013. Una vez que una víctima permite que se habiliten las macros, se descarga un archivo ejecutable desde un servidor remoto. Cuando Locky se ejecuta, crea y asigna un único número hexadecimal 16 de la víctima del tipo F67091F1D24A922B.