¿Es posible detectar o cerrar CryptoLocker limitando el total de bytes de red transferidos?

  

Dado que una PC infectada con virus tiene que descargar (cifrar), volver a cargar todo el archivo y repetir el proceso para cada unidad de red, ¿es posible detectar este evento de ancho de banda inusualmente alto? ¿Hay alguna forma de responder a esto (a través de QOS o algo así?)

Te equivocas: el malware no necesita transferir el archivo. Utiliza cifrado asimétrico: el archivo se cifra primero (simétricamente) con una clave larga, única y generada aleatoriamente, y esa clave se encripta utilizando solo la mitad pública de la clave de descifrado.

Una vez que se elimina esa clave de cifrado simétrica, no queda nada en la máquina para descifrar los archivos y nunca tocó la clave que la desbloqueará.

  

Estoy buscando una forma de detectar y / o limitar el cifrado de Cryptolocker al monitorear la cantidad de datos que se transfieren (ya que se trata de archivos encriptados) y posiblemente establecer una cuota en esta transferencia (QOS?).

No intente crear el suyo: hay muchos sistemas de seguridad que pueden ayudarlo a detectar (y proporcionar protección contra) esta y muchas otras amenazas: analizadores antivirus, IPS , IDS , NBAD , firewalls, etc. Cualquier inversión (inteligente) que realice es una orden de magnitud más eficiente que intentar proteger por jurado una protección por su cuenta, especialmente Si no entiendes la naturaleza de la amenaza.

Una mejor manera de protegerse contra cryptolocker es configurar un NAS, que forzará la versión de los archivos. Con fuerza, me refiero a que todos los cambios de archivos se guardarán en el NAS, y el cliente no tiene manera de afectar esto. Luego guarda todos los datos importantes en este NAS versionado. Si el cryptolocker cifra su NAS, simplemente le dice a NAS que restaure los archivos hasta la fecha en que no estén cifrados.

Es importante que el cliente no pueda tocar esta versión de alguna manera. Por ejemplo, el cliente accede al NAS y escribe un archivo. Si el NAS ve que un archivo ya existente se sobrescribirá, en su lugar, dirigirá la escritura a un "archivo de cambio", por ejemplo, algo así como una superposición de COW pero basada en archivos en lugar de en bloques.

Cuando note que "se han cifrado mis archivos en la unidad compartida", simplemente inicie sesión físicamente en el NAS y pídale que restaure los archivos cifrados a su versión anterior. Si en su lugar se eliminaron los archivos y se guardó una copia encriptada, le dice al NAS que restaure los archivos eliminados.

Tal NAS puede construirse usando un servidor Linux, samba y un par de software adicional que le permite realizar un seguimiento de los cambios en los archivos dentro de la unidad compartida.

Lo bueno de este NAS es que puede mantener el NAS conectado y "montado" de forma segura todo el tiempo. Si Cryptolocker lo toca, puedes simplemente retroceder el tiempo. Tenga en cuenta que necesita construir el NAS de tal manera que el cliente lo use como un simple disco compartido. El cliente NO debe realizar el control de versiones de los archivos por sí mismo, luego Cryptlocker puede omitirlo. Es el servidor NAS que necesita imponer el control de versiones.

Sí, esto significa que los archivos completos se transmitirán al NAS a través del cable "innecesariamente", y luego se reducirán a "archivos de diferencia" en el servidor, pero realmente vale la pena.

El uso de una unidad externa y la simple conexión de la misma con regularidad para la copia de seguridad NO es seguro, cryptolocker puede quedarse latente y esperar a que se conecte la unidad de copia de seguridad, y luego cifrar los archivos. DEBE usar una unidad NAS que imponga el "control de versiones" en el lado del servidor.

Esto también protege contra cargas útiles simplemente destructivas que simplemente eliminan / infectan archivos sin encriptarlos y sin ofrecer la posibilidad de pagar un rescate para recuperar los archivos. (esos son en realidad peores que los virus de rescate).