Qué son los archivos Canary de VMware Carbon Black Cloud Endpoint

Productos afectados:

• VMware Carbon Black Cloud Endpoint

Plataformas afectadas:

• Windows

Tabla de contenido

• ¿Qué son los archivos señuelo?
• ¿Cómo se utilizan los archivos señuelo?
• ¿Dónde se encuentran los archivos señuelo?
• ¿Por qué los archivos señuelo no están ocultos?
• ¿Cómo puedo determinar si los archivos señuelo están en riesgo?

¿Qué son los archivos señuelo?

Los archivos señuelo son conjuntos de cuatro archivos con las extensiones .pptx, .doc, .jpg y.xls que se colocan en diferentes ubicaciones de la unidad de la computadora después de que VMware Carbon Black Cloud Endpoint se haya instalado. Son una línea de defensa adicional contra los ataques de ransomware.

Los archivos señuelo se generan una vez que se activa el modo On Access File Scan Mode, ya sea mediante el ajuste Normal o Aggressive para el modo, o bien cuando la opción Run background scan está activada y la opción Standard o Expedited está establecida para el tipo de ejecución.

Volver al principio

¿Cómo se utilizan los archivos señuelo?

VMware Carbon Black Cloud Endpoint monitorea los archivos señuelo de cerca. Debido a que tienen hashes conocidos, es fácil detectar cualquier cambio, como señales de precaución temprana por una posible infección de ransomware.

Volver al principio

¿Dónde se encuentran los archivos señuelo?

Los archivos señuelo se almacenan en distintas ubicaciones dentro del sistema operativo.

Cada ubicación contiene ocho archivos, con uno por cada uno de los siguientes elementos:

• Nombre aleatorio .PNG archivo
• Nombre aleatorio .XLS archivo
• Nombre aleatorio .DOC archivo
• Nombre aleatorio .PPTX archivo

La suma del tamaño de los archivos en cada ubicación es de 269 KB para cada conjunto de archivos.

A continuación, se muestra un ejemplo de archivos señuelo creados por VMware Carbon Black Cloud Endpoint:

Volver al principio

¿Por qué los archivos señuelo no están ocultos?

Ocultar estos archivos reduce su eficacia, ya que algunas cepas de ransomware omiten intencionalmente los archivos ocultos. Mantener estos archivos visibles proporciona una mayor eficacia de detección de ransomware.

Volver al principio

¿Cómo puedo determinar si los archivos señuelo están en riesgo?

1. En un navegador web, vaya a [REGIÓN].conferdeploy.net.
   Nota: [REGION] = región del grupo de usuarios:

   • América = https://defense-prod05.conferdeploy.net/
   • Europa = https://defense-eu.conferdeploy.net/
   • Asia-Pacífico = https://defense-prodnrt.conferdeploy.net/
2. Sign In en VMware Carbon Black Cloud.
   
3. En el panel de menú de la izquierda, haga clic en Investigar e ingrese event_description:attempted to modify a User Document como el término de búsqueda.
   
4. Seleccione el intervalo de tiempo y haga clic en el botón de búsqueda.
   
5. Haga clic en Process Analysis para obtener el resultado deseado.
   
6. Filtre los resultados con el comando filemod palabra clave.
   
7. Desplácese por los eventos para buscar modificaciones en los archivos señuelo.
   

Volver al principio

Para comunicarse con el equipo de soporte, consulte los números de teléfono de soporte internacionales de Dell Data Security.
Vaya a TechDirect para generar una solicitud de soporte técnico en línea.
Para obtener información y recursos adicionales, únase al foro de la comunidad de seguridad de Dell.