Vyvinutá sofistikovaná účinná ochrana pred šifrujúcim ransomvérom

Značky: ransomvérbezpečnosť

DSL.sk, 13.7.2016

Tím z Floridskej univerzity a Villanovovej univerzity vyvinul účinné riešenie, ktoré dokáže ochrániť súbory užívateľa pred šifrujúcim ransomvérom.

Floridská univerzita na to upozornila v tomto oznámení.

Šifrujúci ransomvér je v poslednom období sa rozmáhajúcim typom škodlivého kódu, ktorý umožňuje jeho tvorcom priamo na svojich obetiach zarábať. Takýto škodlivý kód totiž zašifruje dáta užívateľa a ten ich pri bezchybnej implementácii môže získať späť len po získaní potrebného kľúča pre odšifrovanie. Tvorcovia ransomvéru svojim obetiam ale dajú kľúč respektíve im umožnia získať ich dáta späť až po zaplatení výkupného.

Antivírusové ani iné štandardné bezpečnostné riešenia nie sú stopercentne efektívnou ochranou proti najmä novšiemu škodlivému kódu a neskoršia detekcia infekcie po pridaní rozpoznávania danej vzorky antivírusom už nie je pre užívateľa riešením, keď o svoje súbory prišiel.

Tím ale navrhol pomerne sofistikované riešenie CryptoDrop, ktoré spoľahlivo detekuje šifrujúci ransomvér podľa jeho manipulácie so súbormi v reálnom čase a umožňuje efektívne rozpoznať podľa tvorcov každý doterajší ransomvér a z princípu fungovania aj budúci ransomvér.

Účinnosť CryptoDrop proti jednotlivým typom a vzorkám ransomvéru, kliknite pre zväčšenie (tabuľka: autori CryptoDrop)

Softvér teda už počíta s prítomnosťou ransomvéru v počítači, detekuje až jeho naozaj škodlivé správanie a po detekcii mu zabráni zneprístupniť súbory užívateľa zablokovaním ďalšej funkčnosti tohto kódu.

CryptoDrop je softvérom vyvinutým pre Windows, ktorý monitoruje prácu jednotlivých procesov s užívateľovými súbormi a špecificky si všíma zmeny realizované v súboroch. Princípom práce ransomvéru je totiž zmena súborov na ich zašifrovanú podobu, ktorá sa deje priamo v tom istom súbore alebo vytvorením nového súboru pre každý čítaný súbor.

CryptoDrop si všíma tri hlavné indikátory pri zmene obsahu súborov, prípadnú zmenu typu súborov rozpoznaného z dát súbora napríklad nástrojom file, mieru podobnosti pôvodného a zmeneného súboru a tzv. Shannonovu entropiu dát, rovnomernosť frekvencie výskytu všetkých možných hodnôt bajtov od 0 po 255, vo výslednom súbore. Ransomvér totiž mení typ súboru detekovaný z dát, nový súbor sa na pôvodný výrazne nepodobá a výsledný súbor má vysokú entropiu.

Ak kód napĺňa všetky tieto tri indikátory, ide s vysokou pravdepodobnosťou o ransomvér a je ho možné odhaliť veľmi skoro. Navyše aj v prípadoch, že nie sú napĺňané všetky tri indikátory, identifikovať ransomvér môže prekročenie definovanej úrovne ostatných indikátorov.

Tím následne overil, že takéto riešenie je naozaj účinné a spoľahlivé. Na Windows 7 s 5 099 užívateľskými súbormi otestoval CryptoDrop proti 492 aktívnym vzorkám ransomvéru zo 14 rodín vrátane napríklad CryptoLocker, CTB-Locker, TeslaCrypt. Všetky vzorky CryptoDrop detekoval, pričom medián počtu súborov zašifrovaných ransomvérom pred detekciou bol iba 10 súborov a v niektorých prípadoch prišlo k detekcii iba po jednom alebo dokonca žiadnom stratenom súbore.

457 vzoriek bolo z toho identifikovaných naplnením všetkých troch indikátorov.

CryptoDrop by samozrejme mal byť podobne účinný aj pre nový ransomvér fungujúci podobne ako doterajšie. Ak by sa autori ransomvéru špecificky pokúsili vyhnúť detekcii touto technikou, podľa tímu by sa vedeli vyhnúť naplneniu všetkých troch indikátorov naraz ale naopak by zmenili hodnotu ostatných indikátorov a celkovo budú musieť uskutočniť komplikované kompromisy. Riešenie je samozrejme ale prínosom, keď je podľa výsledkov prezentovaných autormi mimoriadne efektívne proti doterajšiemu ransomvéru.

Tvorcovia samozrejme otestovali aj mieru falošných pozitívnych detekcií legitímneho softvéru, pričom za týmto účelom testovali pri aktívnom CryptoDrop aplikácie 7-zip, Adobe Lightroom, Avast Anti-Virus, Chocolate Doom, Chrome, Dropbox, F.lux, GIMP, ImageMagick, iTunes, Launchy, LibreOffice Calc, LibreOffice Writer, Microsoft Excel, Microsoft Office Viewers, Microsoft Word, MusicBee, Paint.NET, PhraseExpress, Picasa, Pidgin, Piriform CCleaner, Private Internet Access VPN, ResophNotes, Skype, Spotify, Sticky Notes, SumatraPDF, uTorrent a VLC Media Player. U tých, u ktorých to bolo možné, spracovávali naraz väčšie množstvo súborov.

Žiadna z aplikácií nevyvolala splnenie všetkých troch indikátorov a falošne bol s nastavenými hladinami detekovaný len 7-zip. Softvér pre ochranu proti ransomvéru samozrejme ale môže užívateľovi dovoliť zadefinovať výnimky a povoliť aktivitu legitímneho softvéru.

Softvér CryptoDrop je zatiaľ len testovacou verziou pre výskum a tím ho nesprístupnil verejnosti, avizuje ale záujem na spolupráci s existujúcimi tvorcami softvéru na sprístupnení takéhoto riešenia užívateľom.




Najnovšie články:



Diskusia:

posielam Od: matttt | Pridané: 13.7.2016 20:28 posielan (Shanonovu) entropiu Odpovedať Známka: 5.6 Hodnotiť:

Re: posielam Od: bubuk | Pridané: 13.7.2016 20:42 posielam v prílohe album s holými babami, exe koncovku si nevšímajte, to tak má byť... Odpovedať Známka: 8.4 Hodnotiť:

Re: posielam Od: Dubček | Pridané: 13.7.2016 20:46 Kopu ľudí má v kompe 100-tisíc a viac rôznych fotiek, obrázkov a videí. Prednostne to napáda tieto súbory, nie súbory OS a softvéru. Moc sa mi to ako spoľahlivá ochrana nezdá. Predsa by som pridal veľmi účinnú prevenciu! Odpovedať Známka: -5.7 Hodnotiť:

Re: posielam Od: Tupček | Pridané: 13.7.2016 21:32 100,000 a viac rôznych fotiek...tvl,,tak to je už čo povedať :D a veľmi účinná prevencia je len nacahnuc na komp gumu. Odpovedať Známka: 6.8 Hodnotiť:

Re: posielam Od: Dubček | Pridané: 13.7.2016 21:40 Napr. ja mám bežne v kompe všetkých súborov cca 1 milión, keď dám všetky zrátať. A to nič moc nerobím... Fotiek či filmov je zopár. Ale turisti, dovolenkári a čo ja viem kto, už som zažil niekoľko ľudí, čo sú fotografiami doslova zahádzaný. Aj komp s takto zašifrovanými súbormi a nikde záloha. No poteš prso. Odpovedať Známka: -0.4 Hodnotiť:

Re: posielam Od: Drobček | Pridané: 13.7.2016 21:59 Ty čo máš 15 rokov keď len porno ťa napadne keď sa fotky spomenú? Ako keby nikto nerobil profesionálne grafika, spisovateľa, video producenta a pod. že by mali súborov ktoré spadajú do tých kategórii viac než ľudia ktorí pracujú v inej oblasti.. Odpovedať Známka: 2.4 Hodnotiť:

Re: posielam Od: Ffbbfdd | Pridané: 14.7.2016 5:34 Nechapem ten tvoj vysmech, ved on je profesionalny honič! Odpovedať Známka: 9.2 Hodnotiť:

Re: posielam Od: syntaxterrorX | Pridané: 14.7.2016 7:06 Presne tak. Sofistikovane napĺňa všetky indikátory, len ho nesprístupnil verejnosti, avizuje ale záujem na spolupráci a sprístupnení takéhoto riešenia užívateľom. Odpovedať Známka: 7.3 Hodnotiť:

Re: posielam Od: kliest36 | Pridané: 14.7.2016 6:21 4Maniak ? Odpovedať Známka: 2.6 Hodnotiť:

Re: posielam Od: deja_vu | Pridané: 14.7.2016 8:49 páči sa mi ako sa postupne stáva urážkou, keď niekoho nazveš maniakom Odpovedať Známka: 5.0 Hodnotiť:

Re: posielam Od: naprd | Pridané: 14.7.2016 12:43 stačilo by na na rj45 :) Odpovedať Hodnotiť:

Re: posielam Od: Majk0 | Pridané: 18.7.2016 6:49 A čo na WiFi? Odpovedať Hodnotiť:

Re: posielam Od: McUH | Pridané: 14.7.2016 9:00 Presne v tomto prípade je to mimoriadne účinné, pretože ho stopne už po cca 20 súboroch. Stratiť 20 fotiek zo 100000 nie je žiadna tragédia. Účinná prevencia nie je problém, stačí sa rozumne správať a riziko znížiš výrazne. Toto nastupuje keď už prevencia zlyhala. Skôr by ma zaujímalo, ako to ovplyvní výkon systému. Odpovedať Známka: 8.3 Hodnotiť:

Re: posielam Od: Lobotomik | Pridané: 14.7.2016 10:36 "Entropia" je velmi dobre riesenie. Ransonware MUSI vytvorit subory s velkou entropiou, to je PODSTATA sifrovania. Detekovnie "entropie" teda MUSI fungovat. Je to velmi kvalitna myslienka, ktora je velmi vseobecna a bude fungovat na akykolvek ransonware. Odpovedať Známka: 8.0 Hodnotiť:

Re: posielam Od: Dubček | Pridané: 14.7.2016 10:38 Vždy sú aj na druhej strane barikády rovnakí hrdinovia. Odpovedať Známka: 7.1 Hodnotiť:

Re: posielam Od: mnetopride | Pridané: 14.7.2016 12:47 Mne to príde podobné ako z terorizmom. Za chvíľu nás donútia všetky súbory ukladať do cloudu kvôli našej bezpečnosti. Už teraz tým "giganti" argumentujú. Oni si takýto sw vyvinú alebo kúpia a ľuďom to neposkytnú... Odpovedať Známka: -3.3 Hodnotiť:

Re: posielam Od: wdwdwd | Pridané: 15.7.2016 3:18 ransomware moze sifrovat iba kazdy treti bajt, co znizi entropiu. Odpovedať Známka: 6.0 Hodnotiť:

Opatrenie Od: Dubček | Pridané: 13.7.2016 20:44 Krok č.2 bude znemožniť rýchlosť či klamať detekciu softvéru CryptoDrop, alebo aj starú klasiku - zhodiť ho "z rezidencie" a podobne. Keď sa docela dobre rozšíri ako funguje, v tom okamihu prestane byť účinný a spoľahlivý. A budeme tam, kde sme boli včera... Odpovedať Známka: 8.6 Hodnotiť:

Re: Opatrenie Od: Koumak | Pridané: 13.7.2016 20:56 tak tak, pamatam si az moc dobre, ako niektore virusy uspesne zneskodnili detekcnu cast NOD32, alebo Microsoft antivirusu a potom bezpecne tronili v systeme... a uzival len zufal, ze sa mu spomaluje komp a vyskakuju kadejake okna :) Myslim, ze pokial autori tu utilitu dostatocne kvalitne neodladia, tak to bude len otazka kratkeho casu, kedy ju zacnu zhadzovat ako prvy krok pred sifrovanim... Odpovedať Známka: 6.0 Hodnotiť:

Re: Opatrenie Od: mnetopride2 | Pridané: 14.7.2016 12:48 Mne to príde podobné ako z terorizmom. Za chvíľu nás donútia všetky súbory ukladať do cloudu kvôli našej bezpečnosti. Už teraz tým "giganti" argumentujú. Oni si takýto sw vyvinú alebo kúpia a ľuďom to neposkytnú... Odpovedať Známka: -6.7 Hodnotiť:

kde je hovno tam aj rit Od: jaaaa | Pridané: 13.7.2016 21:15 1. Pridat metadata faker alebo rovno inteligentne ponechat povodne hedre a metadata 2. Opatrny/dormant/latent ransomware. Meni vsetky subory pomaly postupne alebo detekovat detektor a prejst pod radarom. 3. Obsfukacne (Steganograficky u medii) resp (Lorem Ipsum u textu) pretransformovat ciphertext Odpovedať Známka: 0.9 Hodnotiť:

Re: kde je hovno tam aj rit Od: Deer | Pridané: 13.7.2016 21:24 Hra na macku a mys moze zacat. Dodnes podobny suboj bezi medzi tvorcami ochran proti kopirovaniu a crackermi. Odpovedať Známka: 8.2 Hodnotiť:

Re: kde je hovno tam aj rit Od reg.: roob_ | Pridané: 13.7.2016 21:25 a potom rakusania vymysleli denuvo :) Odpovedať Známka: -5.6 Hodnotiť:

Re: kde je hovno tam aj rit Od: denuvo | Pridané: 13.7.2016 21:59 a uz je prelomene Odpovedať Známka: 7.6 Hodnotiť:

Re: kde je hovno tam aj rit Od: adgagd | Pridané: 14.7.2016 8:53 hej ? a kde ? Odpovedať Známka: 1.4 Hodnotiť:

ocividna nespojitost Od: syntaxterrorX | Pridané: 14.7.2016 9:33 Presne medzi d a o. Odpovedať Známka: 7.8 Hodnotiť:

Len tak ma napadlo Od reg.: lacimir | Pridané: 13.7.2016 23:02 Nie som vobec žiadny odborník na vírusy, ale ten ransomware nerobí niečo podobné ako voľakedy onehalf? Aj ten začal kodovať disk a ked dosiahol polovicu, tak šup a format c: Odpovedať Známka: 5.6 Hodnotiť:

Re: Len tak ma napadlo Od: Murkoslav | Pridané: 13.7.2016 23:12 presne tak... ako onehalf.. ale to už pamätajú len pamätníci... to bolo možno v roku 1994 Odpovedať Známka: 8.2 Hodnotiť:

Re: Len tak ma napadlo Od: 33jkl33 | Pridané: 14.7.2016 4:42 Ja si ešte pamätám heslo do (pra)starého NODka - gandalf :) Odpovedať Známka: 3.3 Hodnotiť:

Re: Len tak ma napadlo Od: lubulo | Pridané: 14.7.2016 9:49 S tym rozdielom, ze vtedy to bolo len zaskodnictvo a nie zarobkova cinnost, to boli casy, ked virusy robili manici z dlhej chvile, alebo si chceli nieco dokazat, dnes je to cielene na zarobok... Odpovedať Známka: 10.0 Hodnotiť:

Re: Len tak ma napadlo Od: Dubček | Pridané: 14.7.2016 10:47 Ale vtedy sme tu mali disky 10-40MB, síce pomalé črepy, ale aj tak to zabavilo aj pol dňa. Odpovedať Známka: 3.3 Hodnotiť:

Re: Len tak ma napadlo Od reg.: lacimir | Pridané: 14.7.2016 21:48 No, a čistilo sa to s čistou systémovou disketou kde bol len jeden program onehalf.exe Odpovedať Hodnotiť:

Re: Len tak ma napadlo Od reg.: msx.. | Pridané: 13.7.2016 23:25 Žiadny format c:, ale výpis Dis is one half... pri štarte DOSu. Rozdiel je len v tom, že One Half bolo možné dešifrovať, keďže kľúč sa nachádzal na disku. Krásne to dokázal NOD. Mali sme aj priamo program na dešifrovanie čisto One Halfu, ale ten nám zničil súbory, zrejme v ňom bola chyba. Odpovedať Známka: 10.0 Hodnotiť:

konecne zacal nekdo myslet Od: puk | Pridané: 13.7.2016 23:12 Takto uz mali antivirosove spolocnosti mysliet davno. Nie iba skenovat donekonecna data. Odpovedať Známka: 8.0 Hodnotiť:

Re: konecne zacal nekdo myslet Od reg.: naivko | Pridané: 14.7.2016 8:14 skenovanie pre laikov vyzera velmi efektivne Odpovedať Známka: 7.1 Hodnotiť:

Re: konecne zacal nekdo myslet Od: riso_ba | Pridané: 14.7.2016 9:30 ved to uz existuje. kaspersky system watcher https://www.youtube.com/watch?v=xiM5x_wOjBQ Odpovedať Známka: 3.3 Hodnotiť:

kaspersky Od: riso_ba | Pridané: 14.7.2016 6:38 preco mi to pripomina kaspersky system watcher :) Odpovedať Známka: 10.0 Hodnotiť:

Komplikovane Od: Medo | Pridané: 14.7.2016 7:22 :-) Nosia drevo do lesa ... Ze machrujem a nech zverejnim svoje ? Ale nie(nemachrujem), len ked sa ucinne riesenie rozmoze, tak sa stane neucinne, lebo tvorcovia malware sa mu prisposobia ... Odpovedať Známka: 3.3 Hodnotiť:

Re: Komplikovane Od: iExploder | Pridané: 14.7.2016 8:26 ucinne riesenie: install Arch. Odpovedať Známka: -0.9 Hodnotiť:

..... Od: sheddow | Pridané: 14.7.2016 10:28 dobrá práca :) Odpovedať Hodnotiť:

Ochrana proti Ransomwaru Od: LGE | Pridané: 14.7.2016 20:16 Ransomware šifruje len niektoré tipy súborov, podľa zadefinovaných prípon. Ak si ja zašifrujem súbory do nejakého kontajneru napr. s príponou .tc (pomocou TrueCryptu, alebo Veracryptu), tak ransomware takýto súbor nezašifruje a moje reálne dáta v kontajneri ostanú nepoškodené. Môžem použiť aj iné šifrovacie nástroje, napr. EncryptOnClick, CrococryptFile, AxCrypt a pod., pokiaľ zašifrujú súbor s príponou, ktorá "určite" nebude v zozname Ransomwaru. Odpovedať Hodnotiť:

Re: Ochrana proti Ransomwaru Od: LGE | Pridané: 14.7.2016 20:17 Takisto na ochranu proti Ransomwaru sa dájú použiť rôzne "File Lockery", ako napr. Easy File Locker, Anvi Folder Locker, Wise Folder Hider a iné. Tieto aplikácie nešifrujú súbory, takže o nejakú reálnu ochranu osobných dát nemôže byť reč, ale aspoň postačujú na ochranu pred Ransomwarom, pretože schovajú zložky, súbory alebo ich zamknú. Ďalšia možnosť môže byť hromadné odstránenie prípon nejakým File Managerom, takže fotky, hudba a pod. budú bez prípon, ale pokiaľ sú súbory zatriedené do zložiek, tak viete o aký súbor sa jedná a viete ho otvoriť adekvátnym programom. Je to ale menej pohodlné. V neposlednom rade existujú programy ako Malwarebytes Anti-Ransomware alebo Bitdefender Anti-Ransomware, ktoré ale ešte nemajú 100% spoľahlivosť. Odpovedať Hodnotiť:

spravodlivost Od: pxd | Pridané: 14.7.2016 20:19 mne este nikto nikdy nic nezasifroval...ani v sportke som nikdy nic nevyhral...to je niejaka spravodlivost ? Odpovedať Známka: 10.0 Hodnotiť:

kazdyden Od: slovencinar | Pridané: 27.8.2018 15:11 deteguje Odpovedať Hodnotiť:

Pridať komentár