2016年8月3日 星期三

反制勒索程式

Two Ways to Stop Ransomware in Its Tracks

by Glenn Fleishman

July 29, 2016



勒索程式已經成為公司和個人電腦的夢魘,但是最近研究學者給出了令人雀躍的證據,說明這樣的勒索程式可能有辦法被掌控了。



最近成長最快的病毒程式是加密勒索程式(cryptographic ransomware),跟其他惡意軟體,也是用同樣的方法入侵電腦,然後悄悄地把你的檔案拿走,並讓他不能讀取。到了使用者發現檔案被上鎖時,病毒就會要使用者付錢來取得解密鑰匙,讓檔案解密。

兩個研究團隊提前公布新的方案,在綁架軟體造成傷害前,就先偵測到它。防毒軟體研發團隊雖然還沒釋出偵測綁架軟體的程式,但他們說即將來臨。

在惡意軟體製造者擁有強烈的加密演算法下,使用者根本沒有辦法解密被綁架的檔案除非使用者付錢拿解密金鑰或在中毒前有備份。大部分的時候,綁架軟體都具有誠信,只要付錢,通常他們都會給使用者有作用的解密金鑰。如此,防患於未然是唯一的解方。

根據賽門鐵克(Symantec)的報告,那些攻擊者以每天百萬次的頻率攻擊使用者,每個月都有成千上萬的電腦被挾持。然而我們最關注的是那些解密所需的費用,例如有間醫院直到付了 17000 美金才使資料解鎖。而那些病毒的散播者都可望使用者心不甘情不願地按下那付費的按鈕。最近付費解鎖的平均金額從去年年底的 294 美元倍增來到現在的 679 美元。

研究者最近釋出兩份論文探討綁架軟體取用使用者軟體的特有方法,這方法可被偵測。防毒軟體的研究者說到,這也許在實驗室的環境裡適用,但是在真實事件的適用性就難講,因為病毒演化的速度很快。然而,這一定有辦法阻止一些由於綁架軟體所造成的經濟損失。

東北大學(Northeastern University)的研究員已經研發出一個離線的掃瞄系統,匿稱為 Unveil,他們將臆測的病毒是藏在一個虛擬的環境裡,像個在盒子裡的腦袋,藉由監控他的行為決定他是否真的是病毒。另一個來自佛羅里達州大學(University of Florida)和維拉諾瓦大學(Villanova University)的研究團隊研發出即時的監控系統 CryptoDrop,幾乎可以立即阻止綁架軟體當它在運作時。

兩個專案都在觀察綁架軟體的基本行為-閱讀大量檔案並竄改成加密的形式。來自 Unveil 的 Amin Kharraz 說道,這是所有綁架軟體的共通行為,而且可以被偵測識別。

Unveil 軟體也可以檢查跳出視窗是否屬於綁架軟體,畢竟那種要錢的跳出式視窗和一般作業系統跳出的視窗有很大的不同。

McAfee 實驗室的副總裁 Vincent Weafer 對於這病毒有很大的興趣,但是他也不敢保證防毒軟體有辦法完全有用,他說到,如果90%的使用者都使用相同的防毒軟體,那些壞人一定會做修改並複雜化那軟體。例如說要解除偵測竄改的警戒,他們就只要讓檔案部分加密,達到不能修復的臨界值但又不會觸發警戒。如果要解除大量閱讀資料的警戒,就只要讓病毒程式一次一次慢慢地改檔案,這養也就不會觸發警戒了。兩個論文的作者再分別的採訪裡說明,病毒的行為只能隱藏一點而已,然而,這些隱藏瞞混的方法都不太管用。

Unveil 的研究員將眾多來自現實世界的綁架軟體(14000左右個樣本)拿來測試他們得到將近 97% 的成功率,他們還甚至找出另一個未知綁架軟體的分支。CryptoDrop 則是從綁架軟體主要的14個分支各取一些樣本,總共492個樣本,結果偵測率達到100%,他們都及時發現,而且只有損失了 10 個檔案。

上述兩個個團隊都找到一大片可供研究的地方,但是 McAfee 實驗室的 Weafer 和 F-Secure 的 Sean Sullivan 提醒說,測試那麼多種類的綁架病毒並沒有符合現實世界的複雜度,兩種都在測試程式的活躍程度及強調早期防禦的概念。他們也說到,那些綁繫軟體和一般的病毒一樣,他們也是會攻擊那些老舊的作業系統,沒有更新的作業系統,和跑著 Flash 和 Java 的作業系統。

他們也說為什麼綁架軟體得到的關注度高是因為他的行徑很明顯,設這世界上多的是暗暗的複製公司機密的病毒。

雖然說那兩個學術團隊可能還沒找出防毒產業的運作方式,Weafer 說在年底前,這些重要且新穎的防毒技術會在軟體公司之間合作,確定經過層層嚴格的檢驗,眾多的測試才會上架。病毒軟體只會不斷的更新,綁架軟體會衰落,會有新的病毒推陳出新...