image

Gratis tool beschermt Mac OS X tegen generieke ransomware

woensdag 20 april 2016, 16:00 door Redactie, 7 reacties

Beveiligingsonderzoeker Patrick Wardle heeft een gratis tool voor Mac OS X ontwikkeld die bescherming tegen generieke ransomware moet bieden. De tool heet RansomWhere? en monitort het bestandssysteem op verdachte processen die bestanden aan het versleutelen zijn.

In dit geval krijgen gebruikers een waarschuwing te zien en hebben ze de optie om het proces toe te staan of te beëindigen. Begin maart ontdekten onderzoekers in het officiële installatieprogramma van de Mac-app Transmission ransomware aan. Het ging om de KeRanger-ransomware, die als eerste kwaadaardige ransomware voor Mac OS X wordt gezien. Wardle stelt dat zijn gratis tool KeRanger zou hebben gestopt.

Beperkingen

De onderzoeker waarschuwt wel voor de beperkingen van zijn tool. Zo zijn er verschillende ontwerpkeuzes gemaakt die invloed op de detectie kunnen hebben. Daarnaast zou een specifiek ontwikkelde ransomware-variant de bescherming van de tool kunnen omzeilen. Een andere beperking van de tool is dat die reactief is. Pas als ransomware met versleutelen begint komt de tool in actie, waardoor gebruikers mogelijk sommige bestanden al zijn verloren.

Verder monitort RansomWhere? alleen de home directories van de gebruikers. Buiten deze directories wordt ransomware mogelijk niet opgemerkt. Een ander punt is dat de tool door Apple gesigneerde bestanden vertrouwt. Als ransomware van een gesigneerde Apple-binary gebruik zou maken, biedt RansomWhere mogelijk geen bescherming. Een ander minpunt is dat Wardle maatregelen heeft genomen om onterechte waarschuwingen tegen te gaan. Zo worden bestanden en bestandstypen gefilterd die voor legitieme doeleinden worden versleuteld. Iets waar ransomware in theorie gebruik van zou kunnen maken.

"Zeer waarschijnlijk zal 2016 als het jaar van ransomware worden herinnerd en helaas lopen zelfs Mac-gebruikers risico", zegt Wardle in een technische analyse van zijn tool. "Helaas zijn huidige anti-virusoplossingen niet effectief in het beschermen van gebruikers. Er is volgens mij dan ook een meer generieke methode nodig voor het detecteren en dwarsbomen van ransomware." Een methode die zijn eigen tool vooralsnog biedt, zo concludeert de onderzoeker.

Reacties (7)
20-04-2016, 16:46 door [Account Verwijderd]
[Verwijderd]
20-04-2016, 17:47 door Briolet
Begin maart ontdekten onderzoekers in het officiële installatieprogramma van de Mac-app Transmission ransomware aan.
Volgens mij was het na een paar dagen al duidelijk dat het niet het officiële installatieprogramma was dat besmet was. Men had de site van Transmission gemodificeerd zodat de site naar een elders staand besmet programma linkte.
20-04-2016, 17:52 door Anoniem
En als de ransomware nou als eerst cruciale onderdelen van deze tool encrypt?
21-04-2016, 09:47 door Anoniem
Door Anoniem: En als de ransomware nou als eerst cruciale onderdelen van deze tool encrypt?
De applicatie zal waarschijnlijk al in het geheugen zijn wanneer de detectie gebeurt, waardoor de tool na opnieuw opstarten pas niet zou werken. RansomWhere? kan natuurlijk ook zijn eigen bestanden locken, waardoor het in elk geval moeilijker is.
Het is waarschijnlijk niet al te moeilijk om RansomWhere? zichzelf te laten herstellen.
Kwestie van corruptie detecteren (na elke ransomware detectie) en deze bestanden te patchen via (a) in-memory files of (b) zelf opnieuw downloaden van relevante bestanden.
21-04-2016, 10:10 door Anoniem
Kun je niet gewoon detecteren dat er ergens op het systeem een proces start of bestand wordt aangepast met/door encryptie. En dat dan gewoon in zijn volledigheid niet toestaan.
21-04-2016, 19:32 door [Account Verwijderd]
[Verwijderd]
21-04-2016, 21:22 door Anoniem
Er bestaat gewoon al lang antivirus die op basis van machine learning alle ransomware blokkeert voordat het een proces start. Zelfs onbekende en gemuteerde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.