Μι ομάδα ερευνητών, ανέπτυξε ένα εργαλείο που εντοπίζει αυτόματα την δράση ransomware -την στιγμή που ξεκινάει την δράση του- και επαναφέρει τα αρχεία από backups, πριν ολοκληρωθεί το "κλείδωμα" του συστήματος.
Η δημιουργία της ομάδας με την ονομασία ShieldFS, δεν αποτελεί ένα ακόμα antivirus για την αντιμετώπιση ευρέων απειλών, αλλά ένα στοχευμένο εργαλείο που ελέγχει μόνο για επιθέσεις ransomware, μέσω του εντοπισμού της μοναδικής κρυπτογραφικής συμπεριφοράς του. Η παρουσίαση του ShieldFS, που αναπτύχθηκε στο Πολυτεχνείο του Μιλάνο, θα γίνει στο Black Hat που θα διεξαχθεί στο Las Vegas.
Η σημαντική συνεισφορά τους, είναι ένας αριθμός ενδείξεων -που λειτουργούν με εξαιρετική ακρίβεια- που αποκαλύπτουν αν ένα process είναι ransomware ή ασφαλές.
Η δοκιμή του έγινε με κοινά ransmwares όπως τα CryptoLocker και TeslaCryp, ενώ η δοκιμή με το WannaCry, θα γίνει στο συνέδριο Black Hat.
Όταν το ShieldFS, εντοπίζει κάποιο ύποπτο νέο πρόγραμμα, μπαίνει σε φάση "παρατήρησης" (shadowing), και αρχίζει την καταγραφή όλων των ενεργειών του ύποπτου λογισμικού και των αρχείων που προσπελαύνει. Αν "αποφασίσει" πως οι ενέργειες του είναι κακόβουλες, μπλοκάρει την εκτέλεση του κώδικα του και αρχίζει την επαναφορά των προσβεβλημένων αρχείων, από δικτυακά ή άλλα backups.
Πηγή : WiredWhen ShieldFS detects a suspicious new program, it enters an observation phase to determine whether that program is ransomware. During this time, which the researchers call "shadowing," ShieldFS starts keeping a log of everything the intrusive program does, and every file it accesses. If ShieldFS concludes that the program is malicious, it will block the code from running, and automatically restore everything the ransomware touched using mirrored files from extensive backups. Should ShieldFS have a false positive, the researchers note, the program won't cause collateral damage; it just undoes some processes you attempted to initiate. You can authorize whatever the tool found suspicious and start again.
Through building ShieldFS, the researchers found that traditional ransomware has unique behavioral and cryptographic tells compared to other programs running on a system. "It will always happen that the malware will open a file, replace it precisely in the same position with completely different content, and this content will pass through memory with a fingerprint and certain characteristics that are unavoidable," Zanero says. "No normal program shows these characteristics, so we can very safely identify that program as ransomware."
Εμφάνιση 1-5 από 5
-
25-07-17, 13:34 Ερευνητές θα παρουσιάσουν στο Black Hat το ShieldFS για αυτόματη προστασία από ransomware #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.113
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
25-07-17, 14:07 Απάντηση: Ερευνητές θα παρουσιάσουν στο Black Hat το ShieldFS για αυτόματη προστασία από ransomware #2
Θα κανει format και τα windows 10?
-
25-07-17, 14:11 Απάντηση: Ερευνητές θα παρουσιάσουν στο Black Hat το ShieldFS για αυτόματη προστασία από ransomware #3
Η κρυπτογραφική συμπεριφορά είναι δύσκολο να την ελέγξεις και, στην τελική, όποιος φτιάχνει ransomware θα το τεσταρει πρώτα στο ShieldFS όπως και στα άλλα AV πριν το βγάλει.
Όλες αυτες οι heuristic-based προστασίες είναι αμφίβολες και τέτοιου είδους έρευνες δεν με πείθουν για τα επιστημονικά/πανεπιστημιακά κριτήριά τους.
-
25-07-17, 15:30 Απάντηση: Ερευνητές θα παρουσιάσουν στο Black Hat το ShieldFS για αυτόματη προστασία από ransomware #4
Αν δεν έχεις συνδεδεμένο το δίσκο με το backup, που είναι και η σωστή πρακτική;
-
25-07-17, 17:24 Απάντηση: Ερευνητές θα παρουσιάσουν στο Black Hat το ShieldFS για αυτόματη προστασία από ransomware #5
Κάτι μου λέει ότι θα αποτύχει να εντοπίσει το επόεμνο rw.
| "Anyone can build a fast CPU.
| The trick is to build a fast system."
|____________Seymour Cray...
Παρόμοια Θέματα
-
Κορεατική εταιρία hosting πληρώνει 1 εκατομμύριο δολάρια σε Bitcoin για αρχεία κλειδωμένα από ransomware
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 18Τελευταίο Μήνυμα: 13-07-17, 10:42 -
Δικαστική νίκη της Google στο αίτημα των Γαλλικών αρχών για πληρωμή 1,1 δις € φόρων
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 1Τελευταίο Μήνυμα: 13-07-17, 10:29 -
προστασια απο (πιθανη) επιθεση ddos
Από shocked στο φόρουμ WindowsΜηνύματα: 2Τελευταίο Μήνυμα: 06-06-17, 20:50 -
Αυτόματη αλλαγή από Fast path σε Interleaved
Από koliotsamon στο φόρουμ NovaΜηνύματα: 1Τελευταίο Μήνυμα: 09-04-17, 13:01
Bookmarks