neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
Vyvinutá sofistikovaná účinná ochrana pred šifrujúcim ransomvérom

Značky: ransomvérbezpečnosť

DSL.sk, 13.7.2016


Tím z Floridskej univerzity a Villanovovej univerzity vyvinul účinné riešenie, ktoré dokáže ochrániť súbory užívateľa pred šifrujúcim ransomvérom.

Floridská univerzita na to upozornila v tomto oznámení.

Šifrujúci ransomvér je v poslednom období sa rozmáhajúcim typom škodlivého kódu, ktorý umožňuje jeho tvorcom priamo na svojich obetiach zarábať. Takýto škodlivý kód totiž zašifruje dáta užívateľa a ten ich pri bezchybnej implementácii môže získať späť len po získaní potrebného kľúča pre odšifrovanie. Tvorcovia ransomvéru svojim obetiam ale dajú kľúč respektíve im umožnia získať ich dáta späť až po zaplatení výkupného.

Antivírusové ani iné štandardné bezpečnostné riešenia nie sú stopercentne efektívnou ochranou proti najmä novšiemu škodlivému kódu a neskoršia detekcia infekcie po pridaní rozpoznávania danej vzorky antivírusom už nie je pre užívateľa riešením, keď o svoje súbory prišiel.

Tím ale navrhol pomerne sofistikované riešenie CryptoDrop, ktoré spoľahlivo detekuje šifrujúci ransomvér podľa jeho manipulácie so súbormi v reálnom čase a umožňuje efektívne rozpoznať podľa tvorcov každý doterajší ransomvér a z princípu fungovania aj budúci ransomvér.


Účinnosť CryptoDrop proti jednotlivým typom a vzorkám ransomvéru, kliknite pre zväčšenie (tabuľka: autori CryptoDrop)



Softvér teda už počíta s prítomnosťou ransomvéru v počítači, detekuje až jeho naozaj škodlivé správanie a po detekcii mu zabráni zneprístupniť súbory užívateľa zablokovaním ďalšej funkčnosti tohto kódu.

CryptoDrop je softvérom vyvinutým pre Windows, ktorý monitoruje prácu jednotlivých procesov s užívateľovými súbormi a špecificky si všíma zmeny realizované v súboroch. Princípom práce ransomvéru je totiž zmena súborov na ich zašifrovanú podobu, ktorá sa deje priamo v tom istom súbore alebo vytvorením nového súboru pre každý čítaný súbor.

CryptoDrop si všíma tri hlavné indikátory pri zmene obsahu súborov, prípadnú zmenu typu súborov rozpoznaného z dát súbora napríklad nástrojom file, mieru podobnosti pôvodného a zmeneného súboru a tzv. Shannonovu entropiu dát, rovnomernosť frekvencie výskytu všetkých možných hodnôt bajtov od 0 po 255, vo výslednom súbore. Ransomvér totiž mení typ súboru detekovaný z dát, nový súbor sa na pôvodný výrazne nepodobá a výsledný súbor má vysokú entropiu.

Ak kód napĺňa všetky tieto tri indikátory, ide s vysokou pravdepodobnosťou o ransomvér a je ho možné odhaliť veľmi skoro. Navyše aj v prípadoch, že nie sú napĺňané všetky tri indikátory, identifikovať ransomvér môže prekročenie definovanej úrovne ostatných indikátorov.

Tím následne overil, že takéto riešenie je naozaj účinné a spoľahlivé. Na Windows 7 s 5 099 užívateľskými súbormi otestoval CryptoDrop proti 492 aktívnym vzorkám ransomvéru zo 14 rodín vrátane napríklad CryptoLocker, CTB-Locker, TeslaCrypt. Všetky vzorky CryptoDrop detekoval, pričom medián počtu súborov zašifrovaných ransomvérom pred detekciou bol iba 10 súborov a v niektorých prípadoch prišlo k detekcii iba po jednom alebo dokonca žiadnom stratenom súbore.

457 vzoriek bolo z toho identifikovaných naplnením všetkých troch indikátorov.

CryptoDrop by samozrejme mal byť podobne účinný aj pre nový ransomvér fungujúci podobne ako doterajšie. Ak by sa autori ransomvéru špecificky pokúsili vyhnúť detekcii touto technikou, podľa tímu by sa vedeli vyhnúť naplneniu všetkých troch indikátorov naraz ale naopak by zmenili hodnotu ostatných indikátorov a celkovo budú musieť uskutočniť komplikované kompromisy. Riešenie je samozrejme ale prínosom, keď je podľa výsledkov prezentovaných autormi mimoriadne efektívne proti doterajšiemu ransomvéru.

Tvorcovia samozrejme otestovali aj mieru falošných pozitívnych detekcií legitímneho softvéru, pričom za týmto účelom testovali pri aktívnom CryptoDrop aplikácie 7-zip, Adobe Lightroom, Avast Anti-Virus, Chocolate Doom, Chrome, Dropbox, F.lux, GIMP, ImageMagick, iTunes, Launchy, LibreOffice Calc, LibreOffice Writer, Microsoft Excel, Microsoft Office Viewers, Microsoft Word, MusicBee, Paint.NET, PhraseExpress, Picasa, Pidgin, Piriform CCleaner, Private Internet Access VPN, ResophNotes, Skype, Spotify, Sticky Notes, SumatraPDF, uTorrent a VLC Media Player. U tých, u ktorých to bolo možné, spracovávali naraz väčšie množstvo súborov.

Žiadna z aplikácií nevyvolala splnenie všetkých troch indikátorov a falošne bol s nastavenými hladinami detekovaný len 7-zip. Softvér pre ochranu proti ransomvéru samozrejme ale môže užívateľovi dovoliť zadefinovať výnimky a povoliť aktivitu legitímneho softvéru.

Softvér CryptoDrop je zatiaľ len testovacou verziou pre výskum a tím ho nesprístupnil verejnosti, avizuje ale záujem na spolupráci s existujúcimi tvorcami softvéru na sprístupnení takéhoto riešenia užívateľom.


      Zdieľaj na Twitteri



Najnovšie články:

Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky
Qualcomm chystá Snapdragon CPU pre lacnejšie PC, majú začínať na 600 dolárov


Diskusia:
                               
 

posielan (Shanonovu) entropiu
Odpovedať Známka: 5.6 Hodnotiť:
 

posielam v prílohe album s holými babami, exe koncovku si nevšímajte, to tak má byť...
Odpovedať Známka: 8.4 Hodnotiť:
 

Kopu ľudí má v kompe 100-tisíc a viac rôznych fotiek, obrázkov a videí. Prednostne to napáda tieto súbory, nie súbory OS a softvéru.
Moc sa mi to ako spoľahlivá ochrana nezdá. Predsa by som pridal veľmi účinnú prevenciu!
Odpovedať Známka: -5.7 Hodnotiť:
 

100,000 a viac rôznych fotiek...tvl,,tak to je už čo povedať :D a veľmi účinná prevencia je len nacahnuc na komp gumu.
Odpovedať Známka: 6.8 Hodnotiť:
 

Napr. ja mám bežne v kompe všetkých súborov cca 1 milión, keď dám všetky zrátať. A to nič moc nerobím...
Fotiek či filmov je zopár.

Ale turisti, dovolenkári a čo ja viem kto, už som zažil niekoľko ľudí, čo sú fotografiami doslova zahádzaný.
Aj komp s takto zašifrovanými súbormi a nikde záloha. No poteš prso.


Odpovedať Známka: -0.4 Hodnotiť:
 

Ty čo máš 15 rokov keď len porno ťa napadne keď sa fotky spomenú? Ako keby nikto nerobil profesionálne grafika, spisovateľa, video producenta a pod. že by mali súborov ktoré spadajú do tých kategórii viac než ľudia ktorí pracujú v inej oblasti..
Odpovedať Známka: 2.4 Hodnotiť:
 

Nechapem ten tvoj vysmech, ved on je profesionalny honič!
Odpovedať Známka: 9.2 Hodnotiť:
 

Presne tak. Sofistikovane napĺňa všetky indikátory, len ho nesprístupnil verejnosti, avizuje ale záujem na spolupráci a sprístupnení takéhoto riešenia užívateľom.
Odpovedať Známka: 7.3 Hodnotiť:
 

4Maniak ?
Odpovedať Známka: 2.6 Hodnotiť:
 

páči sa mi ako sa postupne stáva urážkou, keď niekoho nazveš maniakom
Odpovedať Známka: 5.0 Hodnotiť:
 

stačilo by na na rj45 :)
Odpovedať Hodnotiť:
 

A čo na WiFi?
Odpovedať Hodnotiť:
 

Presne v tomto prípade je to mimoriadne účinné, pretože ho stopne už po cca 20 súboroch. Stratiť 20 fotiek zo 100000 nie je žiadna tragédia.
Účinná prevencia nie je problém, stačí sa rozumne správať a riziko znížiš výrazne. Toto nastupuje keď už prevencia zlyhala.
Skôr by ma zaujímalo, ako to ovplyvní výkon systému.
Odpovedať Známka: 8.3 Hodnotiť:
 

"Entropia" je velmi dobre riesenie. Ransonware MUSI vytvorit subory s velkou entropiou, to je PODSTATA sifrovania. Detekovnie "entropie" teda MUSI fungovat. Je to velmi kvalitna myslienka, ktora je velmi vseobecna a bude fungovat na akykolvek ransonware.
Odpovedať Známka: 8.0 Hodnotiť:
 

Vždy sú aj na druhej strane barikády rovnakí hrdinovia.
Odpovedať Známka: 7.1 Hodnotiť:
 

Mne to príde podobné ako z terorizmom.
Za chvíľu nás donútia všetky súbory ukladať do cloudu kvôli našej bezpečnosti. Už teraz tým "giganti" argumentujú. Oni si takýto sw vyvinú alebo kúpia a ľuďom to neposkytnú...
Odpovedať Známka: -3.3 Hodnotiť:
 

ransomware moze sifrovat iba kazdy treti bajt, co znizi entropiu.
Odpovedať Známka: 6.0 Hodnotiť:
 

Krok č.2 bude znemožniť rýchlosť či klamať detekciu softvéru CryptoDrop, alebo aj starú klasiku - zhodiť ho "z rezidencie" a podobne.
Keď sa docela dobre rozšíri ako funguje, v tom okamihu prestane byť účinný a spoľahlivý.
A budeme tam, kde sme boli včera...
Odpovedať Známka: 8.6 Hodnotiť:
 

tak tak, pamatam si az moc dobre, ako niektore virusy uspesne zneskodnili detekcnu cast NOD32, alebo Microsoft antivirusu a potom bezpecne tronili v systeme... a uzival len zufal, ze sa mu spomaluje komp a vyskakuju kadejake okna :)
Myslim, ze pokial autori tu utilitu dostatocne kvalitne neodladia, tak to bude len otazka kratkeho casu, kedy ju zacnu zhadzovat ako prvy krok pred sifrovanim...
Odpovedať Známka: 6.0 Hodnotiť:
 

Mne to príde podobné ako z terorizmom.
Za chvíľu nás donútia všetky súbory ukladať do cloudu kvôli našej bezpečnosti. Už teraz tým "giganti" argumentujú. Oni si takýto sw vyvinú alebo kúpia a ľuďom to neposkytnú...
Odpovedať Známka: -6.7 Hodnotiť:
 

1. Pridat metadata faker alebo rovno inteligentne ponechat povodne hedre a metadata

2. Opatrny/dormant/latent ransomware. Meni vsetky subory pomaly postupne alebo detekovat detektor a prejst pod radarom.

3. Obsfukacne (Steganograficky u medii) resp (Lorem Ipsum u textu) pretransformovat ciphertext


Odpovedať Známka: 0.9 Hodnotiť:
 

Hra na macku a mys moze zacat. Dodnes podobny suboj bezi medzi tvorcami ochran proti kopirovaniu a crackermi.
Odpovedať Známka: 8.2 Hodnotiť:
 

a potom rakusania vymysleli denuvo :)
Odpovedať Známka: -5.6 Hodnotiť:
 

a uz je prelomene
Odpovedať Známka: 7.6 Hodnotiť:
 

hej ? a kde ?
Odpovedať Známka: 1.4 Hodnotiť:
 

Presne medzi d a o.
Odpovedať Známka: 7.8 Hodnotiť:
 

Nie som vobec žiadny odborník na vírusy, ale ten ransomware nerobí niečo podobné ako voľakedy onehalf? Aj ten začal kodovať disk a ked dosiahol polovicu, tak šup a format c:
Odpovedať Známka: 5.6 Hodnotiť:
 

presne tak... ako onehalf.. ale to už pamätajú len pamätníci... to bolo možno v roku 1994
Odpovedať Známka: 8.2 Hodnotiť:
 

Ja si ešte pamätám heslo do (pra)starého NODka - gandalf :)
Odpovedať Známka: 3.3 Hodnotiť:
 

S tym rozdielom, ze vtedy to bolo len zaskodnictvo a nie zarobkova cinnost, to boli casy, ked virusy robili manici z dlhej chvile, alebo si chceli nieco dokazat, dnes je to cielene na zarobok...
Odpovedať Známka: 10.0 Hodnotiť:
 

Ale vtedy sme tu mali disky 10-40MB, síce pomalé črepy, ale aj tak to zabavilo aj pol dňa.
Odpovedať Známka: 3.3 Hodnotiť:
 

No, a čistilo sa to s čistou systémovou disketou kde bol len jeden program onehalf.exe
Odpovedať Hodnotiť:
 

Žiadny format c:, ale výpis Dis is one half... pri štarte DOSu. Rozdiel je len v tom, že One Half bolo možné dešifrovať, keďže kľúč sa nachádzal na disku. Krásne to dokázal NOD. Mali sme aj priamo program na dešifrovanie čisto One Halfu, ale ten nám zničil súbory, zrejme v ňom bola chyba.
Odpovedať Známka: 10.0 Hodnotiť:
 

Takto uz mali antivirosove spolocnosti mysliet davno. Nie iba skenovat donekonecna data.
Odpovedať Známka: 8.0 Hodnotiť:
 

skenovanie pre laikov vyzera velmi efektivne
Odpovedať Známka: 7.1 Hodnotiť:
 

ved to uz existuje. kaspersky system watcher

https://www.youtube.com/watch?v=xiM5x_wOjBQ
Odpovedať Známka: 3.3 Hodnotiť:
 

preco mi to pripomina kaspersky system watcher :)
Odpovedať Známka: 10.0 Hodnotiť:
 

:-)
Nosia drevo do lesa ...
Ze machrujem a nech zverejnim svoje ? Ale nie(nemachrujem), len ked sa ucinne riesenie rozmoze, tak sa stane neucinne, lebo tvorcovia malware sa mu prisposobia ...
Odpovedať Známka: 3.3 Hodnotiť:
 

ucinne riesenie: install Arch.
Odpovedať Známka: -0.9 Hodnotiť:
 

dobrá práca :)
Odpovedať Hodnotiť:
 

Ransomware šifruje len niektoré tipy súborov, podľa zadefinovaných prípon. Ak si ja zašifrujem súbory do nejakého kontajneru napr. s príponou .tc (pomocou TrueCryptu, alebo Veracryptu), tak ransomware takýto súbor nezašifruje a moje reálne dáta v kontajneri ostanú nepoškodené. Môžem použiť aj iné šifrovacie nástroje, napr. EncryptOnClick, CrococryptFile, AxCrypt a pod., pokiaľ zašifrujú súbor s príponou, ktorá "určite" nebude v zozname Ransomwaru.
Odpovedať Hodnotiť:
 

Takisto na ochranu proti Ransomwaru sa dájú použiť rôzne "File Lockery", ako napr. Easy File Locker, Anvi Folder Locker, Wise Folder Hider a iné. Tieto aplikácie nešifrujú súbory, takže o nejakú reálnu ochranu osobných dát nemôže byť reč, ale aspoň postačujú na ochranu pred Ransomwarom, pretože schovajú zložky, súbory alebo ich zamknú.
Ďalšia možnosť môže byť hromadné odstránenie prípon nejakým File Managerom, takže fotky, hudba a pod. budú bez prípon, ale pokiaľ sú súbory zatriedené do zložiek, tak viete o aký súbor sa jedná a viete ho otvoriť adekvátnym programom. Je to ale menej pohodlné.
V neposlednom rade existujú programy ako Malwarebytes Anti-Ransomware alebo Bitdefender Anti-Ransomware, ktoré ale ešte nemajú 100% spoľahlivosť.
Odpovedať Hodnotiť:
 

mne este nikto nikdy nic nezasifroval...ani v sportke som nikdy nic nevyhral...to je niejaka spravodlivost ?
Odpovedať Známka: 10.0 Hodnotiť:
 

deteguje
Odpovedať Hodnotiť:

Pridať komentár