image

Onderzoekers ontwikkelen oplossing voor ransomware

maandag 11 juli 2016, 11:13 door Redactie, 24 reacties

Onderzoekers van de Universiteit van Florida hebben een oplossing ontwikkeld om ransomware te stoppen. De oplossing fungeert als een soort van waarschuwingssysteem waarbij de ransomware een aantal bestanden mag versleutelen voordat het wordt gestopt.

CryptoDrop (pdf), zoals de oplossing wordt genoemd, is dan ook niet ontwikkeld om ransomware-infecties op computers te voorkomen. "Ons systeem is een soort van waarschuwingssysteem. Het voorkomt niet dat de ransomware begint .. het voorkomt dat de ransomware alle bestanden kan versleutelen", zegt onderzoeker Nolen Scaife. Gebruikers raken dan alleen een paar documenten of bestanden kwijt, in plaats van alles op de harde schijf. Daarnaast hoeven ze geen losgeld te betalen, gaat Scaife verder.

Tijdens een test met 492 verschillende ransomware-exemplaren van 14 families wist CryptoDrop 100% van van de aanvallen te detecteren en te stoppen, waarbij gemiddeld 10 van de 5100 bestanden op de computers werden versleuteld. "Ongeveer een tiende van één procent van de bestanden ging verloren", laat onderzoeker Patrick Traynor weten.

Monitoren

In plaats van de programma's te monitoren die aanpassingen aan bestanden maken, monitort CryptoDrop de bestanden van de gebruiker. Het systeem kan verdachte bestandsactiviteiten herkennen en vervolgens het verantwoordelijke proces stoppen. Hiervoor kijkt het systeem naar drie verschillende hoofdindicatoren, namelijk het overschrijven van bestanden, het verplaatsen van bestanden en het vervangen van bestanden. Ransomware blijkt vaak deze activiteiten allemaal uit te voeren, terwijl dat niet het geval is bij legitieme programma's.

Zodoende kan CryptoDrop zeer snel de ransomware detecteren en stoppen, zonder dat er veel bestanden verloren gaan. Dit zorgt er weer voor dat slachtoffers niet hoeven te betalen en de cybercriminelen achter de ransomware geen inkomsten ontvangen, zodat hun verdienmodel instort en het niet meer loont om ransomware te maken. Het onderzoeksteam heeft inmiddels een volledig werkend prototype voor Windows ontwikkeld en zoekt nu een partner om het op de markt te brengen.

Image

Reacties (24)
11-07-2016, 11:21 door Anoniem
Hopelijk wordt deze tool gratis uitgebracht voor serverssystemen. Zelfs de meest moderne antivirusoplossingen op serversystemen zijn nog te dom om te detecteren dat een hele netwerkschijf wordt versleuteld.
11-07-2016, 11:22 door Anoniem
Dat valt toch wel te omzeilen met in-place encryptie? Nadeel is file corruptie indien het process wordt afgesloten/afgebroken midden in een encryptie operatie.
11-07-2016, 11:27 door Anoniem
Nu dit bekend is lijkt mij dat de criminelen hun code gaan aanpassen.
Iets in de trend van 1 file per X seconden / minuten versleutelen.
Dan valt het niet meer op. Duurt wel langer het versleutelen naar is beter dan gedetecteerd worden. En hoogst waarschijnlijk kan er ook code in worden geklopt dat er eerst wordt gekeken of dat pakket wel of niet draait.
Tenzij dat pakket zelf verhinderd om gedetecteerd te worden.

Ondertussen wordt eerst het originele bestand aangehouden om geen argwaan te wekken. Zo maar even een gedachte.
En nee, ik ben geen cybercrimineel.
11-07-2016, 11:32 door Anoniem
Door Anoniem: Nu dit bekend is lijkt mij dat de criminelen hun code gaan aanpassen.
Iets in de trend van 1 file per X seconden / minuten versleutelen.
Dan valt het niet meer op. Duurt wel langer het versleutelen naar is beter dan gedetecteerd worden. En hoogst waarschijnlijk kan er ook code in worden geklopt dat er eerst wordt gekeken of dat pakket wel of niet draait.
Tenzij dat pakket zelf verhinderd om gedetecteerd te worden.

Ondertussen wordt eerst het originele bestand aangehouden om geen argwaan te wekken. Zo maar even een gedachte.
En nee, ik ben geen cybercrimineel.

Dat zal wel zo zijn voor een aantal geavanceerde ransomwares, maar het is een goed begin. Maar ransomware die langzaam werkt, is veel eerder te detecteren en stoppen. Het is natuurlijk altijd een strijd tussen malware en anti-malware en dat zal ook altijd wel zo blijven.
11-07-2016, 12:25 door Anoniem
Als je dit combineert met Traps dan ben je een redelijk eind op het endpoint.

https://www.paloaltonetworks.com/products/secure-the-endpoint/traps
11-07-2016, 12:40 door Anoniem
Door Anoniem: Hopelijk wordt deze tool gratis uitgebracht voor serverssystemen. Zelfs de meest moderne antivirusoplossingen op serversystemen zijn nog te dom om te detecteren dat een hele netwerkschijf wordt versleuteld.

Dat lijkt me wel. Belachelijk dat een antivirus boer hier nog niet mee is gekomen.

Door Anoniem: Dat valt toch wel te omzeilen met in-place encryptie? Nadeel is file corruptie indien het process wordt afgesloten/afgebroken midden in een encryptie operatie.

beter 1 corrupte file dan 1 versleutelde disk

Door Anoniem: Nu dit bekend is lijkt mij dat de criminelen hun code gaan aanpassen.
Iets in de trend van 1 file per X seconden / minuten versleutelen.
Dan valt het niet meer op. Duurt wel langer het versleutelen naar is beter dan gedetecteerd worden. En hoogst waarschijnlijk kan er ook code in worden geklopt dat er eerst wordt gekeken of dat pakket wel of niet draait.
Tenzij dat pakket zelf verhinderd om gedetecteerd te worden.

Ondertussen wordt eerst het originele bestand aangehouden om geen argwaan te wekken. Zo maar even een gedachte.
En nee, ik ben geen cybercrimineel.

Virus makers zullen blijven doorontwikkelen maar zolang anti-virus ontwikkelaars dat ook doen, blijft er hoop op goede beveiliging.
11-07-2016, 12:41 door Anoniem
Op zich een aardige manier voor individuele PC's. Voor bedrijfsnetwerken (waar je niet alleen je eigen bestanden maar vaak ook afdelingsbestanden kan verzieken, ehh "versleutelen") zijn er oplossingen die op de centrale storage werken door:
a) signaleren dat een losse client onevenredig veel verkeer (encrypten van bestanden) en dat melden ==> detectie van het probleem
b) versioning en snapshoptechnologie te gebruiken waarmee je gewoon de versie van 2 of 3 of x minuten ervoor weer terug kan halen ==> herstel van de gevolgen
Dus niet helemaal nieuw.

Q
11-07-2016, 14:00 door Briolet
wist CryptoDrop 100% van van de aanvallen te detecteren en te stoppen, waarbij gemiddeld 10 van de 5100 bestanden op de computers werden versleuteld

Blijkbaar kan hij bij één file nog niets verdacht concluderen en begint het pas bij meerdere files argwaan te krijgen. Kan hij dan niet bij de eerste file een tijdelijke hard-link naar die file creëren en die links pas na een bepaalde tijd weer wissen. Op die manier moet je zelfs die eerste 10 files kunnen redden. (Tenzij men dan de file zelf gaat modificeren zoals anoniem 11:22 opteert)
11-07-2016, 14:35 door Anoniem
Hopelijk wordt deze tool gratis uitgebracht voor serverssystemen. Zelfs de meest moderne antivirusoplossingen op serversystemen zijn nog te dom om te detecteren dat een hele netwerkschijf wordt versleuteld.

Zou je als bedrijf bijvoorbeeld dan enkel je systemen beveiligen indien zo'n tool gratis is ? En is de beveiliging van je server werkelijk geen cent waard ?
11-07-2016, 15:52 door Anoniem
Door Anoniem: beter 1 corrupte file dan 1 versleutelde disk.

Hehe, dat klopt maar in het geval van in-place encryptie bedoelde ik dat de ransomware een file heeft welke niet meer te ontcijferen is door de aanvaller, het zal rustig alle files versleutelen. De gebruikelijke ransomware werkt als volgt (uit mijn hoofd, is al een tijdje geleden dat ik in de analyses was gedoken van de diverse API calls):
- zoek naar bestanden met bepaalde extensies
- open het origineel
- maak een nieuw kopie (vaak met random extensie)
- schrijf de versleutelde data in de kopie
- wanneer compleet: verplaats kopie naar origineel = overschrijven
of
- verwijder origineel (kan meestal teruggehaald worden)

In-place gaat als volgt:
- open het origineel in geheugen
- lees x bytes
- versleutel en overschrijf de x gelezen bytes
- herhaal tot alle bytes encrypted zijn (zelfs een klein deel versleutelen kan al genoeg zijn = tijdswinst)
- bewaar/sluit het bestand
- extensie kan ongewijzigd blijven (echter lastig voor "eind-gebruiker", geen duidelijke indicatie van ransomware of file-corruptie)

Wat men ook wel eens probeert te detecteren is het zoek-process. Dat zou men kunnen omzeilen door bij elke hit gelijk encryptie te starten in plaats van eerst alle extensies te zoeken en eventueel maar x bestanden per x tijd op te vragen.

Als laatste kan men overgaan op full-disk encryptie :-) Uiteraard is dat minder effectief voor shares/NAS tenzij men de server weet te infecteren .....

Maar alle bedrijven hebben zich vast goed voorbereid met backups, disaster recovery plannen, etc. Toch???
11-07-2016, 16:10 door Anoniem
Wat als het ransomwareproces helemaal verborgen is voor het OS, of zich voordoet als essentieel systeemproces?
Of wel zichtbaar, maar zich niet zomaar laat afsluiten?
En wat als de MBR al overschreven is?
11-07-2016, 16:16 door Anoniem
Door Anoniem:
Hopelijk wordt deze tool gratis uitgebracht voor serverssystemen. Zelfs de meest moderne antivirusoplossingen op serversystemen zijn nog te dom om te detecteren dat een hele netwerkschijf wordt versleuteld.

Zou je als bedrijf bijvoorbeeld dan enkel je systemen beveiligen indien zo'n tool gratis is ? En is de beveiliging van je server werkelijk geen cent waard ?

Tenslotte doen we allemaal niks liever dan protectiegeld betalen aan beveiligingsbedrijven.
Dat is immers heel wat beter dan losgeld betalen aan de criminelen die virussen en trojans uitbrengen.

(de grote vraag is natuurlijk of we het nu niet over dezelfde mensen hebben of dat er ergens een relatie is)
11-07-2016, 16:49 door Anoniem
Ik draai bij mijn klanten een 'uitgeklede' Bitdefender variant die ik zelf kan beheren. Flink bezig geweest met de Active Protection instellingen, sindsdien geen enkele Cryptolocker of enige variant meer gehad.
Het blijft een kat en muis spel gebaseerd op verschillende factoren maar ik ben er niet zo bang meer voor :)
11-07-2016, 17:03 door Anoniem
Tja een malware maker zit ook niet stil,die zal echt wel inzien dat het om het aanvallen van nepbestanden gaat.
Ik denk dat het niet zo een zeer bijzondere aanvulling is van de onderzoekers om ransomware tegen te gaan.
11-07-2016, 17:38 door wallum
Door Anoniem: Op zich een aardige manier voor individuele PC's. Voor bedrijfsnetwerken (waar je niet alleen je eigen bestanden maar vaak ook afdelingsbestanden kan verzieken, ehh "versleutelen") zijn er oplossingen die op de centrale storage werken door:
a) signaleren dat een losse client onevenredig veel verkeer (encrypten van bestanden) en dat melden ==> detectie van het probleem
b) versioning en snapshoptechnologie te gebruiken waarmee je gewoon de versie van 2 of 3 of x minuten ervoor weer terug kan halen ==> herstel van de gevolgen
Dus niet helemaal nieuw.

Q
Welke producten bieden detectie (a) van het probleem?
11-07-2016, 17:55 door Anoniem
Als ik ransomeware was zou ik beginnen met de 10 laatst gebruikte bestanden. Goede kans dat ik voor dat ik gedetecteerd ben al mijn werk gedaan heb. Of ik pak de grootste etc. Natuurlijk pas ik mijn werk methode aan. En stop en format C: uit als ik merk dat er een ransomware detectie naar mij zit te kijken. Ja eh hallo ik ben een goed eerlijk programma ik versleutel en tegen betaling krijg je het terug, maar als jij mij willens en wetens tegen werkt moet je het zelf maar weten.

Zo dat is er uit. Verder een mooie stap om deze vorm van criminaliteit tegen te gaan.
11-07-2016, 18:27 door Anoniem
Lijkt niks nieuws aan te zijn?

Alle grote anti-malware oplossingen (inclusief Windows Defender) hebben al dergelijke bescherming op basis van 'heuristische analyse'. In Defender heet het 'Behavioral Monitoring' en is het onderdeel van 'Realtime Protection'.
11-07-2016, 18:41 door Anoniem
Door Anoniem: Hopelijk wordt deze tool gratis uitgebracht voor serverssystemen. Zelfs de meest moderne antivirusoplossingen op serversystemen zijn nog te dom om te detecteren dat een hele netwerkschijf wordt versleuteld.

Zelf heb ik notifications die bij bepaalde tresholds ook e-mailtjes uitsturen wanneer mn normale hoeveelheden I/O overschreden worden, maar dan heb ik zelf ook een situatie waar normaliter niet zo veel I/O is als wanneer iets zo-snel-mogelijk bestanden probeert te encrypten.

Zelf gebruik ik voor mijn hobbylab SpiceWorks om een oogje in het zeil te houden, maar er zijn legio veelzijdigere (en veelal prijzigere) alternatieven, voor mij is het vooral zaak om inventory te houden van de devices die zich aanmelden op zowel ons normale wifi als gastnetwerk, naast een overzicht van resourcegebruik van de drie servers (een als fallback) in huis.
11-07-2016, 20:06 door Anoniem
11-07-2016, 21:38 door Anoniem
Deze tool is er al voor OS X: https://objective-see.com/products/ransomwhere.html
12-07-2016, 06:25 door Anoniem
Door Anoniem: Deze tool is er al voor OS X: https://objective-see.com/products/ransomwhere.html

De man achter die site is niet zo onbaatzuchtig als hij wel voor wil doen laten komen op diezelfde site, directeur R&D van Synack zijnde: https://objective-see.com/about.html

Bovendien lijkt het mij voor een ieder die commentaar geeft wel zo verstandig de pdf te downloaden en te lezen. Ligt bepaald genuanceerder dat in de korte tekst van dit topic staat.
12-07-2016, 09:40 door Anoniem
Door Anoniem: Waren die mensen van Emsisoft daar al niet veel eerder met bezig?

http://www.bleepingcomputer.com/news/security/emsisoft-releases-decrypter-for-the-randamant-ransomware-kit/


nee programma uit artikel moet voorkomen dat alles encrypt wordt en het programma uit je link is om de bestanden te decrypten dus als het al te laat is.
ook is het programma uit je link voor 1 bepaald type ransomware
12-07-2016, 10:17 door Anoniem
ESET heeft anti ransomeware policies, voor de zakelijke markt, uitgebracht die de kans op een infectie drastisch verkleinen

http://www.eset.com/nl/over/press/artikelen/malware/article/anti-ransomwaresetup/

Licenties zijn bij mij te bestellen ;-)
18-07-2016, 12:09 door Anoniem
Is niet zo heel nieuw.

Een enkele grote antimalware producent heeft dit al:
http://esupport.trendmicro.com/solution/en-US/1114245.aspx
""Protect documents against unauthorized encryption or modification""

Zit trouwens ook in hun home user product:
http://www.trendmicro.nl/thuis/beveiligingssoftware/

Kwestie van tijd voordat ''ze'' dat allemaal hebben....

Let wel: de schade beperk je met dit soort technologie maar de initiële de besmetting ansich heb je wel te pakken. Ook als je zaken zoals TRAPS gebruikt...

En ja, ook wij zijn ook een B-2-B leverancier en een TM specialist op dit soort zaken....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.