Некоторое время назад мы наткнулись на интересный GitHub repo, назвал randumb, который включал пример под названием Cryptostalker, рекламируемый как инструмент, чтобы обнаружить crypto-программу-вымогатель на Linux.

Cryptostalker и оригинальный проект randumb являются работой Шона Уильямса, разработчика из Сан-Франциско. Г-н Уильямс хотел создать инструмент, который контролировал файловую систему для недавно письменных файлов, и если бы файлы содержали случайные данные, признак зашифрованного содержания, и они были написаны на высокой скорости, это предупредило бы владельца системы.

Прямо сейчас проект только доступен для Linux, но поскольку Вы можете читать ниже в нашем интервью с г-ном Уильямсом, есть план держать инструмент в строевой стойке для Windows.

Если тесты подходят достаточно, то у пользователей Windows может быть новый метод того, чтобы быть предостерегшимся от смертельной волны crypto-программы-вымогателя, это недавно поражало пользователей во всем мире.

Как Вы придумывали идею развивать библиотеку Cryptostalker?

Коротковолновый: Я, прежде всего, управляю Linux и OS X машин, и лично и на работе, таким образом, я не был непосредственно затронут программой-вымогателем. Мой отец действительно становился зараженным ранней версией CryptoLocker, таким образом, опыт моего отца, вместе с тем, что этот материал находится на крутом склоне, заставил меня сосредотачивать некоторое усилие однажды вечером.

К счастью у моего отца были резервные копии, и программа-вымогатель еще не была достаточно умна, чтобы искать слишком трудный для резервных механизмов и зашифровать тех также.

Странно, несколько месяцев назад, которые я написал маленькой части программного обеспечения, которое пытается обнаружить энтропию в данных. Таким образом, изобретение Cryptostalker было простым сцеплением этого программного обеспечения с механизмом, чтобы обнаружить поведение crypto-программы-вымогателя.

Cryptostalker прост, и выдерживает быть усовершенствованным, но он работает как есть, чтобы обнаружить общие напряжения программы-вымогателя.

Какие-либо пользователи или компании проявили интерес к технологии?

Коротковолновый: со Мной еще не связались никакая компания, используя его или взятие ее логики, чтобы написать что-то собственное. Я должен предположить, что есть люди, там делающие что-то подобное.

Cryptostalker находится в государстве PoC в данный момент. Я еще не проверил на работу он, и я хотел бы видеть результаты развертывания в различной окружающей среде, чтобы усовершенствовать ложные положительные стороны.

Питон - платформа поперечного OS. Вы попробовали Cryptostalker на Mac или Windows? Вы планируете перенос библиотеки?

Коротковолновый: Так как большинство инфекций программы-вымогателя находится на Windows, я буду затем держать в строевой стойке Cryptostalker там, и затем OSX. Возможно, некоторые Ваши читатели могут помочь!

Как Вы видите проект развиться? Какие-либо запланированные особенности?

Коротковолновый: Мое основное внимание с Cryptostalker должно сделать его кросс-платформенным. Тогда гарантируйте, что это максимально производительно. При необходимости я напишу его на более быстром языке кроме Пайтона. По крайней мере, столь важный, как работа - ложно-положительный уровень - это должно быть низко, или это - бесполезный инструмент. Чувствительность обнаружения можно щипнуть с инструментом в его текущем состоянии, но я думаю, что здесь есть больше работы.

Программа-вымогатель, которую я видел, не зашифрует файлы, если с сервером командования и управления нельзя связаться, чтобы принести ключ шифрования, или сообщить о том это произвело самостоятельно. Так, один общий подход к предотвращению этого совпадает с предотвращением другого вредоносного программного обеспечения. Таким образом, обнаруживая аномальное поведение на конечной точке, такой как подозрительные коммуникации. Но это - сложные вещи.

Как Вы видите, что программа-вымогатель развивается?

Коротковолновый: основная причина я стремлюсь к Cryptostalker, чтобы быть кросс-платформенным, - то, потому что эволюция программы-вымогателя состоит в том везде, где пользователи. Несколько месяцев поддерживают первую общественную crypto-программу-вымогатель Linux, обычно называемую Linux. Кодирующее устройство 1, был обнаружен. И позже с первым общественным OS X напряжений. Я почти гарантирую, что есть больше инфекций, которые не выходят в свет. Так прежде всего расширение досягаемости идет полным ходом.

Во-вторых, более сложные варианты недавно поднялись. Мы теперь видим шифрование резервных копий и сетевое хранение. Мы видели все сети, предназначенные для выкупа и не просто оппортунистической инфекции.

DBIR Verizon 2015 сообщил о программе-вымогателе как 4,9% инфекций. Я думаю, что это пронзит и уже имеет. Услуги, которые дают преступникам по существу способность пункта-и-щелчка создать их очень собственную программу-вымогатель, были вокруг в течение года (Токсикология и вероятно другие). Так, непринужденность создания вместе с отсутствием широко распространенных профилактических инструментов, которые работают — вопреки часто грандиозным маркетинговым требованиям — вероятно, продвинет программу-вымогатель к среди более прибыльных форм компромисса в 2016.