Divi veidi, kā apturēt Ransomware izplatību

Ransomware ir kļuvusi par draudu, kas skar gan uzņēmumus, gan privātpersonas, taču pētnieki ir piedāvājuši vilinošus pierādījumus tam, ka mēs drīzumā varēsim to apturēt, pirms tas nodara kaitējumu.





Visstraujāk augošā ļaunprogrammatūras kategorija ir kriptogrāfijas izpirkuma programmatūra, kas inficē datoru ar tādiem pašiem līdzekļiem kā cita ļaunprātīga programmatūra un pēc tam klusi šifrē lietotāju failus, padarot tos nelasāmus. Līdz brīdim, kad upuri atklāj problēmu, ļaunprogrammatūra viņiem paskaidro, ka viņiem ir jāmaksā maksa par šifrēšanas atslēgu, kas viņu failus atkal padarīs lietojamus.

Divas pētnieku grupas ir izstrādājušas jaunus veidus, kā atklāt izspiedējvīrusu, pirms tā var nodarīt reālu kaitējumu. Pretvīrusu programmatūras ražotāji atpaliek no konkrētas izspiedējvīrusa noteikšanas, taču viņi saka, ka tā drīzumā tuvojas.

Tā kā ļaunprātīgas programmatūras radītājiem ir viegli pieejama spēcīga šifrēšana, vairumā gadījumu lietotāji, kuru faili ir šifrēti, nevar atgūt oriģinālus, ja vien viņiem nav arhīva pirms inficēšanās vai nav jāmaksā maksa. Ransomware paļaujas uz zagļu godu, un lielāko daļu laika, samaksājot maksu, tiek atbrīvota nepieciešamā šifrēšanas atslēga. Infekcijas novēršana vai tās apturēšana ir vienīgā izeja.



Saskaņā ar a nesenais Symantec ziņojums , uzbrucēji katru dienu veic miljoniem mēģinājumu inficēt lietotājus, un desmitiem tūkstošu sistēmu katru mēnesi tiek turētas par ķīlniekiem. Lai gan ziņās var dominēt ziņojumi par augstām maksām, piemēram, slimnīca, kuras faili tika turēti par ķīlniekiem, līdz tā samaksāja 17 000 USD, lai tos atbloķētu, izspiedējvīrusu izplatītāji parasti meklē ātru trāpījumu, ko vairums patērētāju ar nepatiku maksās. Symantec norāda, ka vidējā maksa, kas nepieciešama, lai atbloķētu failus, vairāk nekā divas reizes pieauga no 294 USD 2015. gada beigās līdz 679 USD 2016. gada jūnijā.

Pētnieki nesen iepazīstināja ar diviem dokumentiem, kas piedāvā efektīvu unikālo darbību noteikšanu, ko izmanto izspiedējvīrusa programmatūra, lai sagrābtu lietotāju failus par ķīlniekiem. Pretvīrusu ražotāji apgalvo, ka, lai gan šīs pieejas varētu darboties laboratorijā, reālos apstākļos to ir grūtāk dublēt, jo ļaunprogrammatūras veidotāji ātri pielāgojas. Tomēr tuvojas izmaiņas, kurām vajadzētu samazināt izspiedējvīrusu izvietošanas ekonomisko vērtību.

Ziemeļaustrumu universitātes pētnieki ir izveidoja bezsaistes skenēšanas sistēmu , saukts Unveil, kas palaiž aizdomīgu ļaunprātīgu programmatūru aizsargātā virtuālajā vidē — piemēram, smadzenes kastē —, lai kontrolētā veidā uzraudzītu tās uzvedību, un pēc tam ātri novērtē, vai tā ir vai nav izspiedējprogrammatūra. Atsevišķa pētnieku grupa no Floridas universitātes un Villanovas universitātes izveidoja reāllaika uzraudzības sistēmu ko sauc par CryptoDrop, kas varētu gandrīz nekavējoties apturēt izpirkuma programmatūru.

Abos projektos tika novērota izspiedējvīrusa galvenā darbība: datu nolasīšana no daudziem dokumentiem un pēc tam šo failu aizstāšana (tos dzēšot vai pārrakstot) ar jaunu saturu, kas ir ne tikai pilnīgi atšķirīgs, bet arī skaidri šifrēts. Amin Kharraz no Unveil komandas saka, ka visu izspiedējvīrusu zemā līmeņa uzvedība atbilst modelim, ko var identificēt.

Unveil varētu arī pārbaudīt, vai programmatūras darbības laikā parādījās izpirkuma maksas stila ekrāns, jo šie ziņojumi, kuros pieprasīta nauda, ​​ievērojami atšķiras no tā, ko parasti rāda lielākā daļa operētājsistēmu un programmatūras.

Vincents Vīfers, Intel Security McAfee Labs viceprezidents, uzskata, ka darbs ir interesants, taču viņš nav pārliecināts, ka tas ir pilnībā efektīvs reālajā pasaulē. 'Ja 90 procenti aizsargu izmantos tādas pašas īpašības, tad sliktie puiši mēģinās modificēt un apmulsināt.'

Piemēram, ja rīks pārbauda, ​​vai fails ir mainījies no vienkārša teksta uz šifrētu formātu, uzbrucēji var šifrēt tikai faila daļas, lai padarītu to nelasāmu un neatkoptu, nedodot programmatūrai signālu, ka tas ir pietiekami mainījies. Vai arī, ja liela failu skaita straujas izmaiņas izraisa brīdinājumu, izspiedējprogrammatūra var lēnām un pacietīgi atzīmēties. Abu rakstu autori atsevišķās intervijās apgalvo, ka pamata izspiedējvīrusa uzvedību var tikai viegli noslēpt, taču to nevar efektīvi slēpt.

Atklāt pētnieki pārbaudīja lielu savvaļā savākto ļaunprātīgas programmatūras paraugu ņemšanu un novērtēja gandrīz 97 procentu precizitātes līmeni, identificējot aptuveni 14 000 izpirkuma programmatūras variantu apakškopu; viņi pat atklāja jaunu ģimeni, par kuru ļaunprogrammatūras apkarošanas firmas nezināja. CryptoDrop autori pārbaudīja 492 zināmus piemērus (izgūtus no 14 lielākajām izspiedējvīrusu ģimenēm) un atpazina 100 procentus reāllaikā ar vidējo 10 failu zudumu, pirms darbība tika atpazīta un apturēta.

Abas akadēmiķu grupas ir atradušas auglīgu augsni izpētei, taču Vēfers no McAfee Labs un Šons Salivans, F-Secure Labs drošības padomnieks, brīdina, ka viltotu failu kopas un ļaunprātīgas programmatūras apakškopas pārbaude neatbilst reālā pasaule. Abi uzsver agrākās stadijas noteikšanu ar programmatūru, kas pārbauda lietojumprogrammu darbību. Viņi arī saka, ka izspiedējprogrammatūra neatšķiras no citām infekcijām, kas izplatās bez izšķirības, trāpot vecākām operētājsistēmām, sistēmām bez ielāpiem un tām, kurās darbojas Flash un Java.

Tas ir arī gadījums, kad izspiedējprogrammatūra tiek pievērsta lielākai uzmanībai, jo tā ir “jūsu sejā”, kā to norāda Vēfers, savukārt lielākā daļa ļaunprātīgas programmatūras slēpjas un var veikt uzņēmējdarbību, kas nav saistīta ar lietotāju, kura iekārta ir apdraudēta.

Lai gan šo divu akadēmisko grupu konkrētais darbs var nenonākt tieši pret ļaunprātīgas programmatūras novēršanu, Vēfers saka, ka līdz gada beigām drošības programmatūras nozarē tiks ieviestas jaunas pieejas izspiedējvīrusu bloķēšanai. Stingrāku pārbaužu veikšana pirms lietojumprogrammas palaišanas, piemēram, centrālās datu bāzes pārbaude, lai noskaidrotu, vai lietotne jebkad ir bijusi darbināta kādā datorā jebkur pasaulē, ir viena no stratēģijām, kuras uzņēmumi vēlas apspriest.

'Augsta profila draudi nav mūžīgi,' saka Vēfers. Ransomware izzudīs, un to aizstās nākamais drauds.

paslēpties