Eine Gruppe von Forschern der italienischen Universität hat ein Tool entwickelt, mit dem ein Ransomware-Angriff auf einen Computer erkannt und blockiert werden kann
Ransomware-Angriffe zwingen Privatpersonen und große Unternehmen in die Knie. Und sogar Behörden, Krankenhäuser und Telekommunikationsunternehmen. Niemand scheint der gefürchtetsten Malware der letzten Jahre entgehen zu können. Doch eine Erfindung des Politecnico di Milano könnte diesen Trend ändern.
Die Forschungsgruppe an der italienischen Universität unter der Leitung von Andrea Continella hat eine Art Anti-Ransomware-Radar entwickelt. Es handelt sich um ein Tool, das Malware fast in Echtzeit automatisch erkennt und das System mit Hilfe von zuvor erstellten Backups wiederherstellt, bevor Hacker die Dateien auf dem Computer vollständig sperren können. Das Radar nennt sich ShieldFS und ist keine Antiviren-Plattform, da es nur Ransomware-Angriffe erkennen kann. Der überraschendste Aspekt ist, dass das Tool in der Lage ist, jede Ransomware zu erkennen, auch solche, die noch nicht entdeckt wurden.
Das Anti-Ransomware-Radar
Durch die Analyse von Programmen, die kryptografisches Verhalten ausnutzen, kann ShieldFS sofort erkennen, ob ein Computer Gefahr läuft, von Ransomware angegriffen zu werden. Dies ist etwas, das die Benutzer sowohl vor völlig neuen Angriffen als auch vor aktualisierten Versionen bekannter Ransomware schützt. Um dieses Tool zu erstellen, arbeiteten die Forscher mit gängigen Arten von Ransomware wie CryptoLocker und TeslaCrypt. Während der Black Hat, der weltgrößten Konferenz für Computersicherheit, testete das Team ShieldFS gegen den berühmten WannaCry-Virus, der in letzter Zeit die Öffentlichkeit zum Thema Ransomware aufrüttelte.
Wie ShieldFS funktioniert
Wenn ShieldFS ein neues verdächtiges Programm erkennt, tritt es in eine Beobachtungsphase ein, um festzustellen, ob es sich um Ransomware handelt.Während dieser Zeit, die von den Forschern als "Shadowing" bezeichnet wird, d. h. wortwörtlich als "Stalking", beginnt ShieldFS damit, ein Protokoll über alles zu führen, was das aufdringliche Programm tut und auf welche Dateien es zugreift. Wenn das Tool zu dem Schluss kommt, dass das Programm bösartig ist, blockiert es den Code und stellt das Gerät wieder her. Im Falle eines falsch positiven Ergebnisses, d.h. wenn ShieldFS ein ungefährliches Programm blockiert, gibt es keine Kollateralschäden. Bei ihren verschiedenen Analysen von Ransomware entdeckten die Forscher auch, dass fast alle diese Schadprogramme auf dieselbe Weise funktionieren. Ein einzigartiges Verhalten, das die Erkennung des Virus erleichtert.
Grenzen von ShieldFS
Die wichtigste Einschränkung von ShieldFS ist, dass es derzeit nur vor herkömmlicher Ransomware schützt. Das heißt, solche, die versuchen, die Dateien eines Geräts zu sperren. Stattdessen werden neue Arten von Malware nicht erkannt, die dem in die Falle getappten Benutzer den Zugriff auf den Rechner verwehren. In der Praxis bietet es keinen Schutz vor der so genannten Pazy-Familie von Ransomware. Es handelt sich um Viren, die im vergangenen Jahr mehrere ukrainische Unternehmen und öffentliche Körperschaften in die Knie gezwungen haben. Glücklicherweise wird die überwiegende Mehrheit der Angriffe jedoch mit "klassischer" Ransomware durchgeführt.