Después de la reciente propagación del ransomware WannaCry, que demostró una vez más que este tipo de ataque es capaz de causar serios daños e interrupciones peligrosas a los servicios críticos, me pregunté por qué no existe una protección fácil contra este tipo de malware. Un enfoque heurístico.
Mi razonamiento es el siguiente: si bien los vectores de ataque del ransomware pueden ser de varios tipos, desde la acción del usuario descuidado hasta los ataques del día cero, la acción es aproximadamente la misma: muchas y muchas. los archivos se abren, se encriptan y luego el archivo encriptado se almacena en lugar del original.
No tengo un conocimiento más profundo sobre los principios de funcionamiento de la protección antivirus, pero me hacen creer que este tipo de acción debería ser detectable relativamente fácil con un enfoque heurístico. Uno podría, por ejemplo, observar los procesos que realizan operaciones de lectura y escritura en masa, y los archivos de salida suelen tener una entropía mucho mayor que los archivos de entrada. Además, se podrían observar los procesos actualmente en ejecución para enviar instrucciones a la CPU, que parecen contener pasos de cifrado. Aunque este último es probablemente más difícil de lograr, creo que debería ser factible dado el número bastante pequeño de algoritmos de cifrado ampliamente distribuidos.
Sin duda, esto no brindaría una protección perfecta contra el ransomware. Cuando el ransomware haya comenzado a cifrarse, tomará un tiempo hasta que el antivirus se active y es posible que ya haya algunos archivos perdidos. Pero, por supuesto, será mejor perder algunos archivos en lugar de perderlos todos. También habrá bastantes falsos positivos, que pueden ser molestos para el usuario. Por otra parte, algunas suites antivirus solicitan cualquier teclado conectado, si se trata realmente de un teclado y no de un dispositivo USB manipulado, lo que consideraría igualmente molesto.
Al buscar en línea, el único enfoque similar que pude encontrar es el software CryptoMonitor , que aparentemente ha sido adquirido por Malware Bytes . Pero a juzgar por la poca información que pude recopilar al respecto, sin embargo, parece no haber afectado al mercado masivo. Además, no tengo conocimiento de ningún enfoque similar de los proveedores de software antivirus conocidos, o al menos no lo encontré.
Esto me lleva a la conclusión de que mi idea de protección contra el ransomware simplemente no funciona. Pero ¿por qué no funcionaría un enfoque heurístico en este caso?