据外媒报道,PayPal获美国专利,其技术可以检测勒索软件感染的早期阶段,并采取两种应对措施: 停止加密过程,或在文件被加密之前,将副本保存到远程服务器。
这项专利的核心是可以检测勒索软件感染时的操作。 PayPal表示,它的系统会监控本地文件何时加载到计算机的内存缓存系统中,也就是应用程序需要执行操作时加载文件的地方。
PayPal的系统将寻找特定的操作:文件被复制或副本被加密。 这是许多勒索软件使用的常见技术,对原始文件的副本进行加密,然后永久删除原始文件,再将加密的副本发送到磁盘上存储以替换合法文件。
PayPal的解决方案是检测这种方式,并引入一个允许执行此类操作的应用程序白名单。 如果执行这些操作的应用程序进程不在白名单上,PayPal的系统将停止该进程,并将原始文件的副本发送到远程云服务进行备份存储。
虽然以前就出现了勒索软件检测系统,但每种勒索软件检测系统都有各自的特点 。 比如2016年初,一名美国开发人员Sean Williams为Linux系统创建了称为Cryptostalker的勒索软件检测系统,用于监控文件系统中新写入的文件。 如果文件被高速创建并包含随机数据,Cryptostalker将停止文件写入过程并发出警报。
同样,在2016年12月,网络安全公司Cybereason发布了现已不存在的RansomFree,该应用使用包含特殊字符的文件夹名,让勒索软件首先加密存储在这些文件夹中的文件,以此来检测勒索软件感染的开始。 RansomFree的工作原理是监视这些文件夹中的文件,在发现文件发生改变后,停止勒索软件攻击。
另一个勒索软件检测系统在2017年10月发布的Windows 10 v1709中,该版本增加了“Controlled Folder Access”功能,Windows 10 v1803中更名为“Ransomware Protection”。 微软的勒索软件检测系统允许Windows 10通过创建一个可对用户选择文件夹中的文件进行修改的应用程序白名单来检测勒索软件。
尽管该系统非常高效,但它并没有得到广泛的应用,因为它需要大量的手动设置, 比如 需要将电脑上的每一个应用程序进行白名单,并选择文件夹来防御勒索软件。
总的来说,这些检测系统多年来都没有产生实际意义的影响。 尽管勒索软件攻击已经有五年多的历史了,但目前还没有一个可靠的勒索软件预防系统。当勒索软件出现在用户的电脑或企业内部网络时,设备仍然会失控。
PayPal的系统看起来很可靠,但是否真正可行,还需要通过“实战”测试。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
