Beveiligingsonderzoeker Patrick Wardle heeft een gratis tool voor Mac OS X ontwikkeld die bescherming tegen generieke ransomware moet bieden. De tool heet RansomWhere? en monitort het bestandssysteem op verdachte processen die bestanden aan het versleutelen zijn.
In dit geval krijgen gebruikers een waarschuwing te zien en hebben ze de optie om het proces toe te staan of te beëindigen. Begin maart ontdekten onderzoekers in het officiële installatieprogramma van de Mac-app Transmission ransomware aan. Het ging om de KeRanger-ransomware, die als eerste kwaadaardige ransomware voor Mac OS X wordt gezien. Wardle stelt dat zijn gratis tool KeRanger zou hebben gestopt.
De onderzoeker waarschuwt wel voor de beperkingen van zijn tool. Zo zijn er verschillende ontwerpkeuzes gemaakt die invloed op de detectie kunnen hebben. Daarnaast zou een specifiek ontwikkelde ransomware-variant de bescherming van de tool kunnen omzeilen. Een andere beperking van de tool is dat die reactief is. Pas als ransomware met versleutelen begint komt de tool in actie, waardoor gebruikers mogelijk sommige bestanden al zijn verloren.
Verder monitort RansomWhere? alleen de home directories van de gebruikers. Buiten deze directories wordt ransomware mogelijk niet opgemerkt. Een ander punt is dat de tool door Apple gesigneerde bestanden vertrouwt. Als ransomware van een gesigneerde Apple-binary gebruik zou maken, biedt RansomWhere mogelijk geen bescherming. Een ander minpunt is dat Wardle maatregelen heeft genomen om onterechte waarschuwingen tegen te gaan. Zo worden bestanden en bestandstypen gefilterd die voor legitieme doeleinden worden versleuteld. Iets waar ransomware in theorie gebruik van zou kunnen maken.
"Zeer waarschijnlijk zal 2016 als het jaar van ransomware worden herinnerd en helaas lopen zelfs Mac-gebruikers risico", zegt Wardle in een technische analyse van zijn tool. "Helaas zijn huidige anti-virusoplossingen niet effectief in het beschermen van gebruikers. Er is volgens mij dan ook een meer generieke methode nodig voor het detecteren en dwarsbomen van ransomware." Een methode die zijn eigen tool vooralsnog biedt, zo concludeert de onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.