Två sätt att stoppa Ransomware i dess spår

Ransomware har blivit ett hot som drabbar företag och individer, men forskare har erbjudit lockande bevis för att vi snart kan stoppa det innan det gör någon skada.





Den snabbast växande kategorin av skadlig programvara är kryptografisk ransomware, programvara som infekterar en dator på samma sätt som annan skadlig programvara och sedan tyst förvränger användarnas filer, vilket gör dem oläsliga. När offren upptäcker problemet förklarar skadlig programvara för dem att de måste betala en avgift för krypteringsnyckeln som kommer att göra deras filer användbara igen.

Två forskarlag har utvecklat nya sätt att upptäcka ransomware innan det kan göra verklig skada. Tillverkare av antivirusprogram släpar efter med specifik upptäckt av ransomware, men de säger att det kommer.

Med stark kryptering lätt tillgänglig för skapare av skadlig programvara, finns det i de flesta fall inget sätt för användare vars filer har krypterats att få tillbaka originalen om de inte har ett arkiv som föregick infektionen eller betalar avgiften. Ransomware förlitar sig på heder bland tjuvar, och för det mesta släpper man ut den nödvändiga krypteringsnyckeln när man betalar avgiften. Att förhindra en infektion eller stoppa den i dess spår är den enda andra utvägen.



Enligt a senaste Symantec-rapport , angripare gör miljontals försök att infektera användare varje dag, och tiotusentals system hålls som gisslan varje månad. Medan rapporter om höga avgifter kan dominera nyheterna, till exempel ett sjukhus vars filer hölls som gisslan tills det betalade $17 000 för att låsa upp dem, letar distributörer av ransomware vanligtvis efter en snabb träff som de flesta konsumenter motvilligt kommer att betala. Den genomsnittliga avgiften som krävs för att låsa upp filer mer än fördubblades från $294 i slutet av 2015 till $679 i juni 2016, säger Symantec.

Forskare presenterade nyligen två artiklar som erbjuder effektiv upptäckt av de unika åtgärder som ransomware använder för att ta användarfiler som gisslan. Antivirustillverkare säger att även om dessa tillvägagångssätt kan fungera i labbet, är det svårare att duplicera i verkliga förhållanden på grund av snabb anpassning av skadlig programvara. Men det kommer förändringar som borde minska det ekonomiska värdet av att distribuera ransomware.

Det har forskare vid Northeastern University skapat ett offline-skanningssystem , kallat Unveil, som lanserar misstänkt skadlig programvara i en skyddad virtuell miljö – som en hjärna i en låda – för att övervaka dess beteende på ett kontrollerat sätt och sedan snabbt bedömer om det var ransomware eller inte. En separat grupp forskare från University of Florida och Villanova University skapat ett övervakningssystem i realtid kallas CryptoDrop som kan stoppa ransomware nästan omedelbart.

Båda projekten tittade på det grundläggande beteendet som ransomware ägnar sig åt: läsa data från massor av dokument och sedan ersätta dessa filer (genom att ta bort eller skriva över dem) med nytt innehåll som inte bara är helt annorlunda utan också tydligt krypterat. Amin Kharraz från Unveil-teamet säger att beteendet på låg nivå av all ransomware passar ett mönster som kan identifieras.

Unveil kunde också kontrollera om en lösenliknande skärm dök upp medan programvaran kördes, eftersom de meddelanden som kräver pengar skiljer sig ganska mycket från vad de flesta operativsystem och programvara visar normalt.

Vincent Weafer, vice vd för Intel Securitys McAfee Labs, tycker att arbetet är intressant, men han är inte övertygad om att det är fullt effektivt i verklig användning. 'Om 90 procent av försvararna använder samma egenskaper, då kommer skurkarna att försöka modifiera och fördunkla.'

Till exempel, om ett verktyg tittar på om en fil har skiftat från vanlig text till ett krypterat format, kan angripare kryptera endast delar av en fil för att göra den oläsbar och oåterställbar, utan att signalera till programvaran att den har ändrats tillräckligt. Eller om snabba ändringar av ett stort antal filer utlöser en varning, kan ransomware ticka iväg långsamt och tålmodigt. De två tidningarnas författare i separata intervjuer hävdar att det grundläggande ransomware-beteendet bara kan döljas lätt, dock inte effektivt dölja.

Avslöja forskare testade ett stort urval av skadlig programvara som samlats in i naturen, och uppskattade en noggrannhetsgrad på nästan 97 procent för att identifiera en undergrupp av cirka 14 000 ransomware-varianter; de upptäckte till och med en ny familj som anti-malware-företagen inte kände till. CryptoDrop-författare testade 492 kända exempel (dragna från 14 stora familjer med ransomware) och kände igen 100 procent i realtid med en medianförlust på 10 filer innan aktiviteten kändes igen och stoppades.

De två uppsättningarna akademiker har funnit grogrund för utforskning, men Weafer på McAfee Labs och Sean Sullivan, säkerhetsrådgivare på F-Secure Labs, varnar för att testning av en uppsättning låtsasfiler och en delmängd av skadlig programvara inte matchar stökigheten i den riktiga världen. Båda betonar tidigare upptäckt av programvara som undersöker applikationsaktivitet. De säger också att ransomware inte skiljer sig från andra infektioner som sprids urskillningslöst genom att träffa äldre operativsystem, oparpade system och de som kör Flash och Java.

Det är också så att ransomware får mer uppmärksamhet eftersom det är 'i ditt ansikte', som Weafer uttrycker det, medan de flesta skadliga program gömmer sig och kan utföra affärer som inte är relaterade till användaren vars maskin har utsatts för intrång.

Även om det specifika arbetet av dessa två akademiska team kanske inte hittar direkt till anti-malware-mjukvara, säger Weafer mot slutet av året att nya metoder för att blockera ransomware kommer att börja införlivas i säkerhetsindustrin. Att sätta in striktare kontroller innan en applikation kan startas, som att kontrollera en central databas om appen någonsin har körts på någon dator var som helst i världen, är en av de strategier som företag är villiga att diskutera.

'Högprofilerade hot varar inte för evigt', säger Weafer. Ransomware kommer att blekna – och ersättas av nästa hot.

Dölj