¿Se podría bloquear el ransomware al cifrar?

8

He estado leyendo sobre ransomware, y me preguntaba si podría defenderse al tener ciertos archivos "atrapados" en una unidad. A veces miro Code Golf y estoy a fondo impresionado por algunas de las soluciones publicadas, algunas de las cuales no creo que sean posibles.

Así que me pregunté: ¿hay alguna manera de que el proceso de cifrado del ransomware se cuelgue de archivos creados especialmente (no solo archivos extremadamente grandes)?

¿Se podría crear un archivo que, cuando se intentó el cifrado, enviara el proceso de cifrado a un bucle infinito, o al menos uno que pudiera tardar mucho tiempo en completarse? Tal vez un programa de monitoreo que sea capaz de comenzar a crear archivos ficticios, mientras que al mismo tiempo borra los archivos ficticios cifrados a medida que se cifran, para que el proceso de cifrado lleve un camino sin fin.

Por supuesto, la idea aquí es detener el proceso de cifrado a mitad de camino. O, quizás, ¿el acceso al archivo especial podría hacer que la computadora ingrese a algún tipo de "modo seguro" que detiene los procesos actuales?

(Nota: esto obviamente sería una estrategia de última línea de defensa, ciertamente no es algo en lo que uno quiera confiar para la seguridad, sino una medida adicional en caso de que todas las medidas más adecuadas fallen)

    
pregunta elmer007 22.02.2017 - 18:53
fuente

5 respuestas

8

Tu sugerencia es interesante; desafortunadamente, una solución genérica no es posible ya que no hay una combinación de bits que pueda hacer que un algoritmo de cifrado se "detenga". El cifrado es sólo matemáticas, después de todo. Tal vez el uso de un rootkit podría engañar al ransomware para que crea que está encriptando un identificador falso de archivo ficticio de yottabyte de largo, o podría tener demoras incorporadas que distribuyen los bytes del archivo muy lentamente, pero es probable que este tipo de enfoque tenga un impacto Uso normal de la computadora también.

Es posible que haya versiones específicas de ransomware que tengan errores de implementación que de alguna manera podrías explotar para que esto suceda, pero ese enfoque tiene numerosos problemas. Los autores de programas maliciosos y los niños de secuencias de comandos evolucionan y cambian los programas de ransomware todo el tiempo, por lo que depender de un error en la versión de hoy no es una garantía de que mañana se infectará con la misma versión de ransomware. Y hay cientos o miles de diferentes programas de ransomware hoy en día; Ningún defecto explotable estará presente en todos ellos.

El enfoque de @JameJames es una forma de intentar detectar el ransomware en acción, pero no hay garantía de que su archivo de captura sea el primer archivo cifrado por el malware y lo cierre a tiempo, o si es el último archivo y el Apagar solo lo hace peor.

Su mejor defensa en este punto sigue siendo la seguridad operacional. Haga copias de seguridad de archivos importantes con regularidad y manténgalos fuera de línea. No abra archivos adjuntos de correo electrónico inesperados, o haga clic en los enlaces de phishing. Mantenga su software de seguridad actualizado y sus sistemas parcheados. Todos los consejos normales siguen siendo válidos.

    
respondido por el John Deters 22.02.2017 - 19:35
fuente
3

Podría crear un watchdog que cree un archivo falso, C: / A, y busque cambios en él. Tan pronto como se detecte un cambio, apague la computadora inmediatamente. Es muy probable que sea el más seguro.

    
respondido por el Hame James 22.02.2017 - 19:10
fuente
0

El cifrado se puede detener en ciertas situaciones: por ejemplo, Si el ransomware usa bibliotecas comunes como CryptoAPI y uno puede conectar sus funciones principales y verificar a la persona que llama. Sin embargo, este no es un enfoque seguro para combatir el ransomware, ya que, por ejemplo, muchas variantes de ransomware pueden incorporar algoritmos de cifrado en su código o incluso no utilizar el cifrado.

El uso de archivos especiales o de captura tampoco es un enfoque seguro, porque cuando la captura detecta algo, puede ser demasiado tarde o puede ser un falso positivo si hay aplicaciones legítimas (como soluciones de copia de seguridad, archivo, sincronización o incluso soluciones de cifrado legítimas) que operan en todos los archivos en un volumen o en varias carpetas. Las cosas pueden complicarse aún más si pensamos en el ransomware que no encripta todos los archivos o no procesa todas las carpetas.

Una solución es utilizar el análisis de comportamiento que rastrea y correlaciona varios elementos, incluidos los procesos, la actividad de los archivos y otros cambios. Los productos que siguen este enfoque pueden detectar y bloquear ransomware con buena precisión, pero generalmente activan la alerta solo después de que se hayan cifrado ya varios archivos (generalmente al menos diez). Las mejores soluciones pueden incluso devolver esos archivos.

    
respondido por el lucim 12.03.2017 - 21:38
fuente
0

Una forma en que puedes hacer esto es crear un archivo disperso . Un archivo disperso es un archivo que contiene grandes secciones de ceros, que se almacenan en el sistema de archivos como solo un metadato que describe qué tan grande es la sección de cero. Un archivo disperso le permite crear un archivo que parece ser muy grande, pero en realidad ocupa poco espacio en el disco.

Cuando un programa de cifrado intenta cifrar este archivo, es probable que intente leer el archivo de principio a fin, cifrando todos los ceros. En un momento dado, o el sistema se quedará sin memoria o se quedará sin espacio en disco, y cualquier cosa que el ransomware no haya cifrado hasta ese punto, podría salvarse si el ransomware falla en ese momento y no intente eliminar el archivo de captura y reanudar en el siguiente archivo. La debilidad es, por supuesto, que probablemente se quedará sin espacio en el disco y en la memoria, lo que también podría bloquear otros procesos. Podría terminar con archivos dañados si hay algún sistema de base de datos con errores en su computadora. Tampoco incluye todos los archivos, ya que este mecanismo solo se activará después de que el ransomware encuentre este archivo.

Puede aumentar la posibilidad de que el archivo de captura sea el primer archivo, leyendo el código fuente de su sistema de archivos e investigando qué necesita para que el archivo de captura sea uno de los primeros en ser devuelto por readdir (). Por ejemplo, si su sistema de archivos devuelve readdir () por orden de creación del archivo, querrá que sea el primer archivo creado, si devuelve los archivos alfabéticamente, querrá agregar muchas "A" al nombre del archivo, o si contiene el nombre del archivo, querrá asegurarse de que el nombre del archivo contiene muchos ceros.

    
respondido por el Lie Ryan 13.03.2017 - 03:19
fuente
0

Podrías tener un proceso de monitoreo que vigile ciertos archivos "canarios", o incluso simplemente intentó monitorear la actividad general de los archivos para detectar ransomware; pero el problema es que no controla qué y en qué orden el ransomware se encripta, y para cuando se comió uno de tus canarios, podrías estar en profundo de todos modos.

    
respondido por el ddyer 13.03.2017 - 03:30
fuente

Lea otras preguntas en las etiquetas