Il ransomware potrebbe essere bloccato durante la crittografia?

8

Ho letto del ransomware e mi chiedevo se fosse possibile difendersi avendo alcuni file "trap" su un disco. A volte guardo attraverso Code Golf e sono accuratamente impressionato da alcune delle soluzioni pubblicate, alcune delle quali non penserei siano possibili.

Quindi mi sono chiesto: c'è un modo per far riattaccare il processo di crittografia di ransomware da file appositamente creati (non solo file eccessivamente grandi)?

Potrebbe essere creato un file che, quando è stata tentata la crittografia, avrebbe inviato il processo di crittografia in un ciclo infinito, o almeno uno che potrebbe richiedere molto tempo per essere completato? Forse un programma di monitoraggio che è in grado di iniziare a creare file fittizi, eliminando allo stesso tempo i file fittizi cifrati mentre vengono crittografati, in modo che il processo di crittografia sia guidato lungo un percorso infinito?

Ovviamente l'idea qui è di fermare il processo di crittografia a metà strada. Oppure, forse, l'accesso al file speciale potrebbe causare l'ingresso di una qualche forma di "modalità sicura" che interrompe i processi correnti?

(Nota: questa sarebbe ovviamente una strategia di ultima linea di difesa, certamente non qualcosa su cui si vorrebbe fare affidamento per sicurezza, ma una misura in più nel caso in cui tutte le misure più appropriate falliscano tutte)

    
posta elmer007 22.02.2017 - 18:53
fonte

5 risposte

8

Il tuo suggerimento è interessante; sfortunatamente una soluzione generica non è possibile in quanto non esiste una combinazione di bit che possa far "arrestare" un algoritmo di crittografia. La crittografia è solo matematica, dopo tutto. Forse l'uso di un rootkit potrebbe ingannare il ransomware facendogli credere che sta crittografando un finto handle di file dummy yottabyte-long, o potrebbe avere dei ritardi costruiti in quella mano i byte dal file molto lentamente, ma questo tipo di approcci rischiano di avere un impatto uso normale del computer pure.

Potrebbero esserci versioni specifiche di ransomware che hanno bug di implementazione che potresti in qualche modo sfruttare per far sì che ciò accada, ma questo approccio ha numerosi problemi. Gli autori di malware e gli script kiddies si evolvono e cambiano continuamente i programmi ransomware, quindi, a seconda di un bug nella versione odierna, non è garantito che la prossima versione del ransomware verrà infettata domani. E ci sono centinaia o migliaia di diversi programmi di ransomware là fuori oggi; nessun difetto sfruttabile sarà presente in tutti loro.

L'approccio

@HameJames è un modo per cercare di rilevare il ransomware in azione, ma non c'è alcuna garanzia che il suo file trap sarà il primo file crittografato dal malware e lo spegnerà nel tempo, o se è l'ultimo file e il lo spegnimento rende solo peggio.

La tua difesa migliore a questo punto è ancora la sicurezza operativa. Effettua backup regolari di file importanti e mantenerli offline. Non aprire allegati e-mail inattesi o fare clic sui collegamenti di phishing. Tieni aggiornato il tuo software di sicurezza e i tuoi sistemi sono stati aggiornati. Tutto il consiglio normale si applica ancora.

    
risposta data 22.02.2017 - 19:35
fonte
3

Potresti creare un watchdog che crea un file falso, C: / A, e cerca le modifiche in esso. Non appena viene rilevata una modifica, spegni immediatamente il computer. È probabilmente il più sicuro.

    
risposta data 22.02.2017 - 19:10
fonte
0

La crittografia può essere interrotta in determinate situazioni: ad es. se il ransomware utilizza librerie comuni come CryptoAPI e si possono agganciare le loro funzioni principali e controllare il chiamante. Tuttavia, questo non è un approccio sicuro alla lotta contro il ransomware, perché, per esempio, molte varianti di ransomware possono incorporare algoritmi di crittografia nel loro codice o addirittura non utilizzare affatto la crittografia.

L'uso di file speciali o trap non è un approccio sicuro, perché quando la trappola cattura qualcosa, potrebbe essere troppo tardi, o potrebbe essere un falso positivo se ci sono app legittime (come soluzioni di backup, archiviazione, sincronizzazione o anche soluzioni di crittografia legit) che operano su tutti i file in un volume o più cartelle. Le cose possono diventare ancora più complicate se pensiamo al ransomware che non cripta tutti i file o non elabora tutte le cartelle.

Una soluzione consiste nell'utilizzare un'analisi comportamentale che tiene traccia e correla diversi elementi tra cui processi, attività dei file e altre modifiche. I prodotti che seguono questo approccio possono rilevare e bloccare il ransomware con una buona precisione, ma in genere attivano l'avviso solo dopo che alcuni file (di solito almeno dieci) sono già stati crittografati. Le migliori soluzioni possono anche restituire quei file.

    
risposta data 12.03.2017 - 21:38
fonte
0

Un modo per farlo è creare un file sparse . Un file sparse è un file che contiene ampie sezioni di zeri, che sono memorizzati nel filesystem come semplici metadati che descrivono quanto è grande la sezione zero. Un file sparse consente di creare un file che sembra essere molto grande, ma in realtà occupa poco spazio sul disco.

Quando un programma di crittografia tenta di crittografare questo file, è probabile che proverà a leggere il file dall'inizio alla fine, crittografando tutti gli zeri. A un certo punto, il sistema esaurirà la memoria o esaurirà lo spazio su disco, e qualsiasi cosa il ransomware non abbia crittografato fino a quel punto, potrebbe potenzialmente essere recuperato se il ransomware si blocca in quel punto e non lo fa prova a eliminare il file trap e riprendi il file successivo. La debolezza è, naturalmente, che probabilmente si esaurirà spazio su disco e memoria, il che potrebbe causare il crash di altri processi. Si potrebbe finire con file danneggiati se nel computer è presente un sistema di database difettoso. Inoltre, non tutti i file, poiché questo meccanismo verrebbe attivato solo dopo che il ransomware ha rilevato questo file.

Si potrebbe aumentare la probabilità che il file trap sia il primo file, leggendo sul codice sorgente del proprio filesystem e ricercando ciò di cui ha bisogno per rendere più probabile che il file trap sia uno dei primi restituiti da readdir (). Ad esempio, se il tuo filesystem restituisce readdir () per ordine di creazione del file, vorresti che fosse il primo file che viene creato, se restituisce i file alfabeticamente, vorresti aggiungere molti "A" al nome del file, o se cancella il nome del file, devi assicurarti che il nome file hash contenga molti zeri.

    
risposta data 13.03.2017 - 03:19
fonte
0

Potresti avere un processo di monitoraggio che controlla determinati file "canarini", o anche solo provato a monitorare l'attività generale del file per rilevare il ransomware; ma il problema è che non controlli cosa e in quale ordine il ransomware Crittografa, e quando ha mangiato uno dei tuoi canarini, potresti essere dentro in ogni caso.

    
risposta data 13.03.2017 - 03:30
fonte

Leggi altre domande sui tag