Annyira jól jövedelmeznek a zsaroló programok, hogy gyakorlatilag nincs olyan platform, amely ne lenne kitéve ilyen támadásoknak. Egy-egy megkaparintott géppel keveset lehet keresni, de a sok kicsi itt aztán tényleg sokra megy. A lebukás veszélye meg minimális.

Idén márciusban jelent meg az első igazán ütős zsaroló Mac OS X-re, a KeRanger egy változata, amely 1 bitcoint kér a titkosítás feloldásáért, és az Apple Gatekeeper védelmét is át tudta verni.

Egyszerű: figyeljük a titkosításokat

A Maceken is ugyanaz volt a zsarolók evolúciója, mint windowsos környezetben – írja a Biztonságportál. Kezdetben a rendszert zároló programokkal próbálkoztak a bűnözők, aztán a KeRangerrel megjelentek a teljes funkcionalitással bíró, fájltitkosítók. A KeRanger mintegy 300 formátumot tud titkosítani.

Patrick Wardle biztonsági kutató egy olyan ellenszert fejlesztett, amely nagyon egyszerű elven működik. A RansomWhere? Nevű alkalmazása azt figyeli, hogy valamely folyamat elkezdett-e fájlokat titkosítani. A gyakorlat persze bonyolultabb, mivel nem csak a zsaroló trójaiak titkosíthatnak, hanem például legális biztonsági alkalmazások is.

Wardle az FSEvents API adta lehetőségeket használja fel, hogy figyelje a fájlrendszerhez kötődő I/O műveleteket. Többféle algoritmust is bevetett annak megállapítására, hogy egy fájlt titkosít-e épp valamilyen program. A RansomWhere? azt nem tudja eldönteni, hogy a titkosítási folyamat célja mi, azaz nem látja, hogy zsaroló program dolgozik-e a háttérben. A döntéshez ezért két szempontot vesz figyelembe: 1. a titkosítás végző program fent volt-e a gépen a RansomWhere? telepítésekor; 2. van-e érvényes aláírása. Ha mindkét feltételre igen a válasz, akkor ártalmatlannak minősíti a programot.

Ez egyelőre a korlátja is

Wardle programja telepítés után feltérképezi a rendszert, lekérdezi a telepített szoftverek listáját, majd elkezdi figyelni a fájlműveleteket. Amennyiben gyanús eseményt észlel, akkor rögtön riasztást jelenít meg, és blokkolja az adott alkalmazást a felhasználó döntéséig, aki engedélyezheti vagy leállíthatja a felfüggesztett folyamatot.

A RansomWhere? a KeRangerrel szemben elég hatásos. Bár más, hasonló típusú károkozók ellen is véd, egyelőre messze van a tökéletestől. Egyrészt egyelőre csupán a Home könyvtár felügyeletére alkalmas. Másrészt szükséges van tanulási időre, hogy jól be tudja azonosítani a gyanús eseményeket. Ha tehát a telepítés és a detektálás között fertőződne meg néhány állomány, az simán átcsúszhat a program ellenőrzésén. A fentiekből következik az is, hogy olyan zsaroló ellen sem ad hatásos védelmet, amely a RansomWhere? telepítése előtt került a gépre, de hosszabb ideig inaktív, hogy ne keltsen feltűnést.

Az ötlet ettől még ígéretes, érdemes lesz figyelni a folytatásra – írja at IT-biztonsági portál. A módszer egyébként nem új. Windowsos környezetben többek között a Malwarebytes is próbálkozik olyan technikákkal, amelyek a fájlrendszerben bekövetkező, titkosításra utaló gyanús műveletek figyelésén, kiszűrésén alapulnak.

A RansomWhere? letölthető Patrick Wardle Objective-See nevű oldaláról, ahol a fejlesztő részletes technikai leírást is ad a programhoz. Érdemes nyomon követni a program fejlődését.