¿Se podría bloquear el ransomware al cifrar?

Tu sugerencia es interesante; desafortunadamente, una solución genérica no es posible ya que no hay una combinación de bits que pueda hacer que un algoritmo de cifrado se "detenga". El cifrado es sólo matemáticas, después de todo. Tal vez el uso de un rootkit podría engañar al ransomware para que crea que está encriptando un identificador falso de archivo ficticio de yottabyte de largo, o podría tener demoras incorporadas que distribuyen los bytes del archivo muy lentamente, pero es probable que este tipo de enfoque tenga un impacto Uso normal de la computadora también.

Es posible que haya versiones específicas de ransomware que tengan errores de implementación que de alguna manera podrías explotar para que esto suceda, pero ese enfoque tiene numerosos problemas. Los autores de programas maliciosos y los niños de secuencias de comandos evolucionan y cambian los programas de ransomware todo el tiempo, por lo que depender de un error en la versión de hoy no es una garantía de que mañana se infectará con la misma versión de ransomware. Y hay cientos o miles de diferentes programas de ransomware hoy en día; Ningún defecto explotable estará presente en todos ellos.

El enfoque de @JameJames es una forma de intentar detectar el ransomware en acción, pero no hay garantía de que su archivo de captura sea el primer archivo cifrado por el malware y lo cierre a tiempo, o si es el último archivo y el Apagar solo lo hace peor.

Su mejor defensa en este punto sigue siendo la seguridad operacional. Haga copias de seguridad de archivos importantes con regularidad y manténgalos fuera de línea. No abra archivos adjuntos de correo electrónico inesperados, o haga clic en los enlaces de phishing. Mantenga su software de seguridad actualizado y sus sistemas parcheados. Todos los consejos normales siguen siendo válidos.

Podría crear un watchdog que cree un archivo falso, C: / A, y busque cambios en él. Tan pronto como se detecte un cambio, apague la computadora inmediatamente. Es muy probable que sea el más seguro.

El cifrado se puede detener en ciertas situaciones: por ejemplo, Si el ransomware usa bibliotecas comunes como CryptoAPI y uno puede conectar sus funciones principales y verificar a la persona que llama. Sin embargo, este no es un enfoque seguro para combatir el ransomware, ya que, por ejemplo, muchas variantes de ransomware pueden incorporar algoritmos de cifrado en su código o incluso no utilizar el cifrado.

El uso de archivos especiales o de captura tampoco es un enfoque seguro, porque cuando la captura detecta algo, puede ser demasiado tarde o puede ser un falso positivo si hay aplicaciones legítimas (como soluciones de copia de seguridad, archivo, sincronización o incluso soluciones de cifrado legítimas) que operan en todos los archivos en un volumen o en varias carpetas. Las cosas pueden complicarse aún más si pensamos en el ransomware que no encripta todos los archivos o no procesa todas las carpetas.

Una solución es utilizar el análisis de comportamiento que rastrea y correlaciona varios elementos, incluidos los procesos, la actividad de los archivos y otros cambios. Los productos que siguen este enfoque pueden detectar y bloquear ransomware con buena precisión, pero generalmente activan la alerta solo después de que se hayan cifrado ya varios archivos (generalmente al menos diez). Las mejores soluciones pueden incluso devolver esos archivos.

Una forma en que puedes hacer esto es crear un archivo disperso . Un archivo disperso es un archivo que contiene grandes secciones de ceros, que se almacenan en el sistema de archivos como solo un metadato que describe qué tan grande es la sección de cero. Un archivo disperso le permite crear un archivo que parece ser muy grande, pero en realidad ocupa poco espacio en el disco.

Cuando un programa de cifrado intenta cifrar este archivo, es probable que intente leer el archivo de principio a fin, cifrando todos los ceros. En un momento dado, o el sistema se quedará sin memoria o se quedará sin espacio en disco, y cualquier cosa que el ransomware no haya cifrado hasta ese punto, podría salvarse si el ransomware falla en ese momento y no intente eliminar el archivo de captura y reanudar en el siguiente archivo. La debilidad es, por supuesto, que probablemente se quedará sin espacio en el disco y en la memoria, lo que también podría bloquear otros procesos. Podría terminar con archivos dañados si hay algún sistema de base de datos con errores en su computadora. Tampoco incluye todos los archivos, ya que este mecanismo solo se activará después de que el ransomware encuentre este archivo.

Puede aumentar la posibilidad de que el archivo de captura sea el primer archivo, leyendo el código fuente de su sistema de archivos e investigando qué necesita para que el archivo de captura sea uno de los primeros en ser devuelto por readdir (). Por ejemplo, si su sistema de archivos devuelve readdir () por orden de creación del archivo, querrá que sea el primer archivo creado, si devuelve los archivos alfabéticamente, querrá agregar muchas "A" al nombre del archivo, o si contiene el nombre del archivo, querrá asegurarse de que el nombre del archivo contiene muchos ceros.

Podrías tener un proceso de monitoreo que vigile ciertos archivos "canarios", o incluso simplemente intentó monitorear la actividad general de los archivos para detectar ransomware; pero el problema es que no controla qué y en qué orden el ransomware se encripta, y para cuando se comió uno de tus canarios, podrías estar en profundo de todos modos.