Question Après avoir lu sur la manière dont les ransomware de base ciblent et cryptent vos fichiers. Je me demandais s'il serait plausible d'écrire votre propre script pour essayer de détecter de telles activités? Effort de recherche initial J'ai examiné différentes idées que les gens avaient précédemment sur ce site:<ul> <li> Refuser l'accès à l'écriture: <a href="https://security.stackexchange.com/questions/116371/is-denying-write-access-an-effective-way-to-stop-ransomware">refuse d'écrire un accès efficace d'arrêter de ransomware?</a> </li> <li> Suggestions Comment éviter l'efficacité du ransomware: <a href="https://security.stackexchange.com/questions/92748/how-to-avoid-ransomware/92762#92762">Comment éviter de ransomware</a> </li> </ul>Je connais un outil qui annonce déjà quelque chose comme ça, mais je suppose que les assaillants ont déjà pris note de cet outil et tenteront de le contourner. Peut-être qu'ils pensaient-ils également que l'utilisateur moyen n'installera pas réellement ce genre de chose et que les <10% ont été non pertinents pour les assaillants. Hypothèses Dans les deux cas, de ma compréhension (et corrigez-moi s'il vous plaît où je me trompe) le crypto le plus répandu - Ransomware réellement:<ul> <li>exécute avec des privilèges utilisateur</li> <li>accède à un ensemble limité des fichiers de l'utilisateur ( défini par extension de fichier)</li> <li>crée de nombreux nouveaux fichiers sous un nouveau nom (nouvelle extension ou complètement crypté)</li> <li>supprime correctement les fichiers d'origine ( Je suppose qu'ils écrasent la mémoire d'origine pour éviter que les personnes utilisent simplement un simple outil de restauration de fichier ?)] ==)] ==)</li> </ul> Retour à une question plus spécifique Sous ces considérations, il semble tout à fait plausible pour moi d'écrire un script pouvant surveiller mes fichiers et mes emplacements les plus importants. Et pour rendre ma question plus spécifique: Est-il vrai que de nombreux travaux de crypto-rango-ransomware (par exemple, TeslaCrypt) sous ces hypothèses données (ci-dessus)? et s'il y en a plus Tactics insaisissables employés, éviteraient-ils facilement la détection si mon propre script de surveillance s'appuie sur la surveillance standard d'accès au fichier ?<hr> Notes latérales en ce qui concerne ce que je suppose que l'anti-crypto-outil ferait: L'outil pourrait même être associé à une approche de Honeypot pour obtenir des alertes immédiates et de tuer des processus qui tentent de changer quoi que ce soit dans un ensemble spécifique de fichiers qui ressemblent à des documents personnels normaux.Je suis conscient que la recommandation n'est pas d'écrire votre propre logiciel crypto, mais je cherche des conseils si vous encouragez les personnes à écrire un logiciel anti-ransomware pour au moins essayer de créer une autre couche de sécurité.Je suis également conscient que les sauvegardes sont plus importantes dans ce cas. Je ne pense pas à remplacer des sauvegardes avec mon propre script de maison et je suis également conscient que les tests seront difficiles.La question concerne plus pourquoi il n'y a pas déjà plus d'outils anti-crypto-ransomware, étant donné que leur approche pourrait réellement être détectée avec une surveillance de base de base. Peut-être que mon hypothèse est fausse dans cela et j'aimerais avoir de vos nouvelles pourquoi c'est.

Serait-il plausible d'écrire votre propre outil anti-crypto-ransomware?

Question

Après avoir lu sur la manière dont les ransomware de base ciblent et cryptent vos fichiers. Je me demandais s'il serait plausible d'écrire votre propre script pour essayer de détecter de telles activités?

Effort de recherche initial

J'ai examiné différentes idées que les gens avaient précédemment sur ce site:

Refuser l'accès à l'écriture: refuse d'écrire un accès efficace d'arrêter de ransomware?
Suggestions Comment éviter l'efficacité du ransomware: Comment éviter de ransomware

Je connais un outil qui annonce déjà quelque chose comme ça, mais je suppose que les assaillants ont déjà pris note de cet outil et tenteront de le contourner. Peut-être qu'ils pensaient-ils également que l'utilisateur moyen n'installera pas réellement ce genre de chose et que les <10% ont été non pertinents pour les assaillants.

Hypothèses

Dans les deux cas, de ma compréhension (et corrigez-moi s'il vous plaît où je me trompe) le crypto le plus répandu - Ransomware réellement:

exécute avec des privilèges utilisateur
accède à un ensemble limité des fichiers de l'utilisateur ( défini par extension de fichier)
crée de nombreux nouveaux fichiers sous un nouveau nom (nouvelle extension ou complètement crypté)
supprime correctement les fichiers d'origine ( Je suppose qu'ils écrasent la mémoire d'origine pour éviter que les personnes utilisent simplement un simple outil de restauration de fichier ?)] ==)] ==)

Retour à une question plus spécifique

Sous ces considérations, il semble tout à fait plausible pour moi d'écrire un script pouvant surveiller mes fichiers et mes emplacements les plus importants. Et pour rendre ma question plus spécifique:

Est-il vrai que de nombreux travaux de crypto-rango-ransomware (par exemple, TeslaCrypt) sous ces hypothèses données (ci-dessus)? et s'il y en a plus Tactics insaisissables employés, éviteraient-ils facilement la détection si mon propre script de surveillance s'appuie sur la surveillance standard d'accès au fichier ?

Notes latérales en ce qui concerne ce que je suppose que l'anti-crypto-outil ferait:

L'outil pourrait même être associé à une approche de Honeypot pour obtenir des alertes immédiates et de tuer des processus qui tentent de changer quoi que ce soit dans un ensemble spécifique de fichiers qui ressemblent à des documents personnels normaux.

Je suis conscient que la recommandation n'est pas d'écrire votre propre logiciel crypto, mais je cherche des conseils si vous encouragez les personnes à écrire un logiciel anti-ransomware pour au moins essayer de créer une autre couche de sécurité.

Je suis également conscient que les sauvegardes sont plus importantes dans ce cas. Je ne pense pas à remplacer des sauvegardes avec mon propre script de maison et je suis également conscient que les tests seront difficiles.

La question concerne plus pourquoi il n'y a pas déjà plus d'outils anti-crypto-ransomware, étant donné que leur approche pourrait réellement être détectée avec une surveillance de base de base. Peut-être que mon hypothèse est fausse dans cela et j'aimerais avoir de vos nouvelles pourquoi c'est.

file-encryptiondetectionfile-accessransomware

24 mars 2016Chris

Pourquoi il n'y a pas déjà plus d'outils anti-crypto-ransomware?

Parce qu'il y a. Ils s'appellent des scanners de virus et ils devraient avoir des algorithmes heuristiques à détecter ce comportement. Malheureusement, les développeurs de Ransomware sont suffisamment intelligents pour tester leurs créations contre tous les scanners virus couramment utilisés et s'assurer qu'ils contournent leur heuristique.

Et avant de commencer à écrire votre propre solution en espérant qu'il n'est pas couvert par toutes les tactiques d'évasion utilisées par ce type de logiciel malveillant, la mise en place d'une solution de sauvegarde est généralement beaucoup plus facile et vous protège de beaucoup plus de problèmes que de ransomware.

24 mars 2016Philipp