Univerzitní výzkumný tým našel efektivní algoritmus účinný proti kryptoransomwaru
17.07.2016 15:54Výzkumníci si položili následující otázku: je běžný uživatel ochoten obětovat pár desítek souborů výměnou za záchranu všech ostatních? Většina uživatelů, kteří již byli nějakým typem ransomware postiženi, by určitě byla pro takovéto řešení. A právě z této myšlenky vychází řešení CryptoDrop, se kterým tým z University of Florida and Villanova přichází, které bezproblémově spolupracuje s existujícími antivirovými programy.
Funguje to jako systém včasného varování, přičemž je pár desítek souborů "obětováno" za ušlechtilým účelem zabránění větším ztrátám. V průběhu jejich zpracování ransomwarem totiž algoritmus sbírá cenné informace, které následně využije k zastavení postupu "nákazy". Jako příznak napadení je bráno typické chování ransomwaru v napadeném systému, tedy hromadná modifikace/vymazávání/vytváření souborů určitého typu, určitý typ síťové komunikace a podobně. Špatná zpráva pro současné oběti ransomwaru je, že toto řešení je zatím pouze ve fázi testování. Výzkumníci zatím hledají investora, který by jim pomohl jejich koncept uvést do života jako komerční produkt. O efektivnosti jejich řešení prý však není pochyb.
"Zkoušeli jsme náš detektor na několika stovkách vzorků aktivního ransomware a úspěšně jsme detekovali plných 100% těchto vzorků; medián počtu souborů, které byly zasaženy do okamžiku detekce byl 10",sdělil pro server Helpnetsecurity.com Nolen Scaife, který je zároveň jedním z lidí stojících za projektem CryptoDrop.
Podle dalšího člena týmu Patricka Traynora bývá ztracena zhruba jedna desetina procenta souborů. Výhodou však je, že není třeba čekat na aktualizaci databáze signatur tradičního antivirového softwaru. Pokud je oběť postižena zcela novou neznámou formou ransomware, tento algoritmus ji stejně identifikuje a zastaví. Celý popis tohoto problému a jeho řešení najdete v originálním znění zde.
Poznámka: Software CryptoDrop je vyvíjen pouze pro platformu Microsoft Windows, což je pochopitelné, vzhledem ke statistikám počtu napadených strojů podle platformy. Pro platformu Linux nicméně existuje podobný nástroj jménem Crypostalker, jehož zdrojový kód najdete na githubu.
———
Zpět