(2018) Berrueta Irigoyen, Eduardo; Morató Osés, Daniel; Escuela Técnica Superior de Ingenieros Industriales y de Telecomunicación; Telekomunikazio eta Industria Ingeniarien Goi Mailako Eskola Teknikoa
Este trabajo presenta una solución para detectar una infección por ransomware en un
equipo de una red local con directorios compartidos por SMB en uno o varios servidores.
Se basa en el análisis de tráfico de las versiones 1 y 2 de este protocolo, en la cantidad
de bytes leídos y escritos y en las eliminaciones que haga el usuario en ficheros del
servidor. Deben establecerse tres parámetros que caracterizarán al algoritmo (N,
T y Vumbral), y que determinarán la cantidad de ficheros que encriptará el ransomware antes
de su detección. Aunque esos
N
ficheros van a ser encriptados en todos los casos en
que se detecte el ransomware, se ha desarrollado una herramienta de recuperación para
conseguir recuperar estos ficheros, de forma que podemos considerar la herramienta
como
sin pérdidas.
Los resultados son del 100 % de detección de ransomware con una probabilidad de
falso positivo menor del 1 % en la mayoría de los días testeados. Las pruebas se han
realizado con un total de 53 muestras distintas de ransomware de 18 familias diferentes,
corriendo en un entorno virtualizado. Los falsos positivos se han evaluado con muestras
de tráfico de usuario de 6 días laborables en la red local de la UPNA y 1 día completo
en otra red empresarial.
