Scaife, Traynor and colleagues Kevin Butler at UF and Henry Carter at Villanova University lay out the solution in a paper accepted for publication at the IEEE International Conference on Distributed Computing Systems and scheduled to be presented June 29 in Nara, Japan.
The results, they said, were impressive.
"We ran our detector against several hundred ransomware samples that were live," Scaife said, "and in those case it detected 100 percent of those malware samples and it did so after only a median of 10 files were encrypted."
And CryptoDrop works seamlessly with antivirus software.
"About one-tenth of 1 percent of the files were lost," Traynor said, "but the advantage is that it's flexible. We don't have to wait for that anti-virus update. If you have a new version of your ransomware, our system can detect that."
Таким образом, на данный момент программа CryptoDrop способна обнаружить 100% зловредов-вымогателей, а ее недостаток заключается в ключевом принципе ее работы: прежде чем заблокировать такого зловреда, она должна его обнаружить, благодаря чему он успевает зашифровать несколько файлов.
Здравствуйте, Lazytech, Вы писали:
L>Таким образом, на данный момент программа CryptoDrop способна обнаружить 100% зловредов-вымогателей, а ее недостаток заключается в ключевом принципе ее работы: прежде чем заблокировать такого зловреда, она должна его обнаружить, благодаря чему он успевает зашифровать несколько файлов.
Интересно, а как он отнесется к моему TrueCrypt? Или BitLocker? Или еще какому легальному шифровальному средству?
Re[2]: Универсальное средство против зловредов-вымогателей
Здравствуйте, DOOM, Вы писали:
DOO>Интересно, а как он отнесется к моему TrueCrypt? Или BitLocker? Или еще какому легальному шифровальному средству?
Насколько я понял, CryptoDrop — это даже не альфа-версия, а исследовательский прототип. Вероятно, для TrueCrypt, BitLocker и т. п. добавят соответствующие исключения.
Re[3]: Универсальное средство против зловредов-вымогателей
Здравствуйте, Lazytech, Вы писали:
L>Вероятно, для TrueCrypt, BitLocker и т. п. добавят соответствующие исключения.
На этом можно расходиться.
Вредоносное ПО моментально научится добавлять себя в исключения, как это сейчас делает для межсетевых экранов и т.п.
Re[4]: Универсальное средство против зловредов-вымогателей
Здравствуйте, DOOM, Вы писали:
DOO>Вредоносное ПО моментально научится добавлять себя в исключения, как это сейчас делает для межсетевых экранов и т.п.
Можно примеры зловредов, которые умеют добавлять себя в исключения? Кстати, в статье сказано, что CryptoDrop можно использовать параллельно с обычными антивирусами, т. е. как дополнительную, а не основную защитную меру.
P.S. Хотелось бы также узнать мнение мыщъха. Возможно, не всё так плохо?
Здравствуйте, Lazytech, Вы писали:
L>Можно примеры зловредов, которые умеют добавлять себя в исключения?
Конкретный не назову — тысячи их.
L>Кстати, в статье сказано, что CryptoDrop можно использовать параллельно с обычными антивирусами, т. е. как дополнительную, а не основную защитную меру.
А можно еще UAC не выключать и тогда вообще все шоколадно будет
В общем, я тут не вижу того, что называется "научная новизна"
Re[6]: Универсальное средство против зловредов-вымогателей
Здравствуйте, DOOM, Вы писали:
DOO>Конкретный не назову — тысячи их.
Не знал, что всё настолько запущено.
DOO>А можно еще UAC не выключать и тогда вообще все шоколадно будет
Получается, в фирмах и организациях, у которых оказываются зашифрованными ценные файлы, UAC был отключен?
DOO>В общем, я тут не вижу того, что называется "научная новизна"
Если я правильно понял, новизна состоит в том, что зловреду позволяют начать свою работу, чтобы на этом основании его детектировать.
P.S. Предлагаю добавить в CryptoDrop функцию создания резервной копии каждого файла, который попытается зашифровать потенциально вредоносное ПО.
DOO>>А можно еще UAC не выключать и тогда вообще все шоколадно будет L>Получается, в фирмах и организациях, у которых оказываются зашифрованными ценные файлы, UAC был отключен?
Как правило — да. Ну и UAC голову не заменяет. Надо правильно реагировать на его предупреждение: тут какая-то программулина полезла активно ворошить диск — разрешить?
Это не для совсем уж неподготовленного пользователя решение.
DOO>>В общем, я тут не вижу того, что называется "научная новизна" L>Если я правильно понял, новизна состоит в том, что зловреду позволяют начать свою работу, чтобы на этом основании его детектировать.
Ну т.е. они просто мониторят, что какая-то программа начала массово модифицировать файлы и считают это подозрительной активностью. Как бе ничего нового...
Re: Универсальное средство против зловредов-вымогателей
Здравствуйте, wildwind, Вы писали:
W>100% из тех, на ком протестировали?
Совершенно верно. В статье сказано, что исследователи протестировали программу на нескольких сотнях зловредов-вымогателей. Может, надо было на нескольких тысячах?
Здравствуйте, Lazytech, Вы писали:
L>Совершенно верно. В статье сказано, что исследователи протестировали программу на нескольких сотнях зловредов-вымогателей. Может, надо было на нескольких тысячах?
Нет, надо понять, сможет ли она ловить тех зловредов, которые знают о ее существовании.
Re[6]: Универсальное средство против зловредов-вымогателей
Здравствуйте, Lazytech, Вы писали:
L>Согласен, однако эвристика в некоторых антивирусах вроде как-то обнаруживает новые вирусы, которые знают о существовании этих антивирусов?
То, что это в принципе возможно — сомнений не вызывает.
Re[8]: Универсальное средство против зловредов-вымогателей
Здравствуйте, Lazytech, Вы писали:
L>Совершенно верно. В статье сказано, что исследователи протестировали программу на нескольких сотнях зловредов-вымогателей. Может, надо было на нескольких тысячах?
Они каждый день десятками появляются. Как только эта программа распространится, авторы вымогателей подстроят их поведение так, чтобы остаться незамеченными. Здесь примерно та же ситуация, что с антивирусами. Только антивирусы реагируют быстро: сутки-другие и новая разновидность уже детектится и базы у пользователей обновлены.
Хочу заметить, я не против таких исследований, я только за. Если им там удалось найти признаки, по которым можно эффективно детектить шифровальщиков, это здорово. (Если конечно это не что-то тривиальное вроде количества обращений к файлам в секунду или последовательности вызовов API функций.) Значит, скоро они будут реализованы в антивирусах. Но все же на первом месте бдительность и правила сетевой гигиены.
Re[5]: Универсальное средство против зловредов-вымогателей
Здравствуйте, Lazytech, Вы писали:
L>Здравствуйте, wildwind, Вы писали:
W>>100% из тех, на ком протестировали?
L>Совершенно верно. В статье сказано, что исследователи протестировали программу на нескольких сотнях зловредов-вымогателей. Может, надо было на нескольких тысячах?
Просто предположение. Программа следит за процессами и находит такие, которые открывают и изменяют файлы за определенный момент времени. Если процесс превысил нужное количество файлов, то считается что это зловред. Но так и писатели зловредов не дураки, они потом будут плодить процессы и для каждого шифрования будут создавать новый дочерний процесс. Т.е. то что ловит сейчас, это просто потому что у писателей зловредов не было целью защититься от конкретной программы. Со временем все изменится.
Re[7]: Универсальное средство против зловредов-вымогателей
Здравствуйте, Lazytech, Вы писали:
L>Если я правильно понял, новизна состоит в том, что зловреду позволяют начать свою работу, чтобы на этом основании его детектировать.
А зловред понавороченее закриптит данные без генерации уведомлений. Вся затея 100% обнаружения попахивает антивирусом Дениса Попова.
kalsarikännit
Re[9]: Универсальное средство против зловредов-вымогателей
