Perder el control de los archivos que almacenas en tus dispositivos es uno de los problemas más graves de seguridad que podrías sufrir. En este artículo nos hacemos eco de una nueva investigación que han realizado, en la que han detectado una herramienta maliciosa que puede bloquear el acceso a los archivos en Windows. Se denomina GhostLock y aprovecha la API de Windows para bloquear el acceso a archivos.
Esta amenaza ha sido detectada por parte de un investigador de seguridad de Zenodo, como puedes ver en la publicación en su web. Según explica, esta técnica aprovecha la API ‘CreateFileW‘ de Windows y los modos de uso compartido de archivos para impedir que otros usuarios y aplicaciones abran archivos mientras los identificadores permanecen activos.
Nueva técnica para bloquear archivos
GhostLock es una prueba de concepto, lo que significa que es una demostración técnica sobre cómo funciona algo. No se trata de un malware activo, en realidad. No es una amenaza que, actualmente, pueda suponer ataques masivos a los usuarios de Windows. Sin embargo, sí que demuestra que seto es posible y que los piratas informáticos podrían llevar a cabo ataques de este tipo.
El investigador ha demostrado que ciertas APIs de Windows legítimas se podrían explotar y usar para bloquear archivos, impedir que los usuarios puedan acceder y afectar también a recursos SMB compartidos en red. En este caso, concretamente aprovecha el parámetro ‘dwShareMode‘ en la función CreateFileW(), que especifica el tipo de acceso que otros procesos tienen a un archivo mientras está abierto.
Este investigador explica que, al abrir un archivo con ‘dwShareMode = 0’, Windows otorga al proceso acceso exclusivo al archivo, impidiendo que otros usuarios o aplicaciones lo abran. Esta herramienta, para comprobar lo que explica, está disponible en GitHub para cualquiera que desee probarla.
Hay que tener en cuenta que esta herramienta la pueden ejecutar usuarios sin privilegios elevados y llegar a bloquear archivos. Esto hace que sea un problema más grave.
No es un ataque destructivo
El investigador de seguridad, como recoge el medio especializado Bleeping Computer, asegura que esta técnica no destructiva, como sí sería el ransomware, sino que principalmente es un ataque de interrupción. Lo que puede provocar es que los usuarios no puedan acceder a sus archivos con normalidad.
