逃避赎金软件的兴起
2017年5月,随着“想哭”的出现,勒索软件占据了每天的新闻。这款软件在个人电脑和公司电脑上都不受欢迎,它劫持了用户的文件,要求用户支付赎金才能取回他们的文件。“想哭”可能是最著名的勒索软件之一。勒索软件是一种恶意软件,通过加密无法访问受害者的文件。加密“锁定”了数据,没有特定的“密钥”任何人都无法读取数据。
“想哭”之所以成为如此罕见的攻击,是因为受感染电脑的绝对数量(据信约为20万台),以及一些受影响组织的性质。令人担忧的是,其中一个备受瞩目的受害者是英国国家卫生服务医院的计算机系统。这不仅影响了执行管理任务的计算机,还影响了负责分析测试结果和操作核磁共振扫描仪等设备的计算机。
虽然媒体中的赎金软件的普遍似乎可能看起来像最近的现象,但是第一个赎金软件攻击发生在1989年,也是针对医疗保健行业的。然而,这种攻击在很大程度上是由于设计缺陷导致的失败:而不是加密文件,它只是重命名它们,使其很容易可逆。然而,现在,攻击已经变得更加技术精致,匿名货币的可用性,如比特币,它使得追溯这种攻击的来源比以往任何时候都更加困难。
普渡大学(Purdue University)的Elisa Bertino教授和她的团队等研究人员正在进行反击。破解勒索软件加密来恢复文件通常几乎是不可能的,但伯蒂诺教授有另一个聪明的技巧。她没有试图破解受影响文件的加密,而是专注于阻止初始加密过程的预防方法,使勒索软件基本上毫无用处。她的研究小组已经证明,这种方法在阻止勒索病毒感染方面非常成功,这些工具可能是避免“想哭”事件重演的答案。
在文件上倒换加密进程,或“解密”它,并不总是一个简单或简单的任务
保持秘密
加密过程是在核心错误的软件或“恶意软件”,如勒索软件,操作。加密是一种隐藏信息的方式,以便任何想要阅读真实信息的人必须拥有特殊的钥匙。
反转一个文件的加密过程,或者“解密”它,并不总是一项简单的任务。加密有多种方式和优势。有些密钥是完全保密的,所以只有信息的“发送者”和“接收者”有一个副本。另一些则是公开可用的,依赖于生成成对的私有或秘密密钥进行加密,这与直觉相反。生成过程依赖于一种算法,该算法可用于根据安全需求生成更简单或更复杂的密钥。
可以通过拦截键或试图猜测正确的密钥来完成打破加密。一种蛮力方法,其中计算机尝试猜测可以包括密钥的所有可能组合,这意味着对合理时间尺度的正确猜测非常难以置信。甚至更难的情况下,一些恶意软件可能需要每个受感染的计算机的唯一解密密钥。
这就是Bertino教授的方法如此成功的原因。她的工具基本上是等待恶意攻击的迹象。这可能是大量文件的突然加密,从而导致计算机文件系统的更改。结合此操作,它在读取和写入文件系统的过程中寻找任何异常,这是要发生加密过程的信号。这款预警检测系统允许该工具非常提前发现攻击并停止加密。
预防策略
伯蒂诺教授并不是第一个试图寻找阻止勒索软件的警告信号的人。然而,仅仅寻找文件加密事件或异常进程请求的方法往往会标记出大量的误报,并且通常在阻止实际攻击方面是无效的。它们可能会被加密文件速度较慢的勒索软件所愚弄,或者在用户试图加密自己的文件时触发勒索软件。
事实证明,伯蒂诺教授的联合方法对于15种不同类型的勒索软件攻击非常有效。当发生攻击时预警系统触发时,它可以停止进一步的加密,但是,如果在进程被阻止之前一些文件已经被加密,该工具可以记录进程使用的参数,根据特定的勒索软件,甚至恢复解密密钥。这使得它难以置信的直接撤销恶意软件造成的任何损害,并恢复文件操作。
未来战斗
Bertino教授和她在普渡大学计算机科学系的两位博士生Anand Mudgerikar和Shagufta Mehnaz正在进一步开发这种方法。一种策略是部署诱饵文件,作为预警检测系统的另一部分,这些文件可能对用户没有任何兴趣,但同样有可能成为勒索软件的目标。试图加密这些文件将是勒索软件攻击的强烈迹象,因为用户通常不会加密这些文件。她和她的学生还专注于针对不同目标的勒索软件攻击,比如物联网设备。
鉴于存储在连接到互联网的系统和网络上的敏感数据量的增加,勒索软件可能会继续似乎是网络犯罪分子的有利可图的策略。但是,通过Bertino教授等工具,恶意软件需要变得更加复杂,以便有效。
问答
你认为拥有反勒索软件会变得和反病毒软件一样普遍吗?
组织是否像医院一样脆弱?
Bertino教授的方法在阻止赎金软件感染方面非常成功
创建预防工具在技术上最具挑战性的方面是什么?
您如何鼓励您认为“更好的用户行为”以防止恶意软件的一些问题?
好帖子!