RIPlace es nueva técnica de bypass ransomware que recientemente fue detectado por los investigadores de seguridad. La técnica se basa en unas pocas líneas de código para evadir con éxito una función de las características de protección ransomware, presente en las soluciones de seguridad y de Windows 10.
La técnica RIPlace fue descubierto por varios investigadores de seguridad de Nyotron – Daniel Prizmant, chico Meoded, Freddy Ouzan, Hanan y Natan. Los investigadores contactados proveedores de seguridad y Microsoft sobre el tema. Sin embargo, al parecer sólo dos vendedores tomaron las medidas necesarias para abordar el problema y asegurar que el producto afectado.
Las otras compañías parecen creer que RIPlace es un “no sea un problema", dijeron los investigadores en una conversación con Bleeping ordenador. empresas afectadas incluyen nombres como Microsoft, Symantec, Sophos, Negro carbón, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, CrowdStrike, Trampas y PANW. Kaspersky y Negro de carbono son las únicas empresas que aseguraron sus productos frente a la técnica de bypass RIPlace.
RIPlace ransomware bypass Técnica Explicación
Para entender cómo funciona el bypass ransomware, tenemos que mirar los datos encripta manera ransomware. Para el cifrado se lleve a cabo, el ransomware tiene para cifrar los archivos específicos y reemplazarlos con los datos cifrados a través de uno de los tres métodos principales:
1. Abrir y leer archivo original
2. Cifrar contenido en la memoria
3. Destruir el archivo original:
– Escribir el contenido cifrado en archivo original,-
– O guardar archivo cifrado en el disco, mientras se quita el archivo original usando la operación DeleteFile,
– O guardar archivo cifrado en el disco, a continuación, reemplazándolo con el archivo original usando la operación Rename.
Para una protección eficaz ransomware, las tres condiciones deben ser neutralizados. Sin embargo, parece que el tercer método de sustitución de archivos de una manera específica podría permitir la evasión de la protección ransomware.
Dicho esto, "RIPlace es una técnica de sistema de archivos de Windows que, cuando se utiliza para cifrar archivos de forma malintencionada, puede evadir la mayoría de los métodos anti-ransomware existentes," el investigadores explicaron. La razón RIPlace es tan complicado es que aprovecha un fallo de diseño en el sistema operativo Windows en lugar de un defecto específico en el software. Además, el bypass es fácil de implementar.
Los investigadores también proporcionan dos vídeos para mostrar cómo trucos RIPlace dos productos de seguridad de punto final populares - Symantec Endpoint Protection y Microsoft Defender Antivirus.
Más información sobre RIPlace está disponible.