image

Gratis tool beschermt Windowscomputers tegen ransomware

dinsdag 20 december 2016, 11:19 door Redactie, 9 reacties

Een Amerikaans beveiligingsbedrijf heeft een gratis tool uitgebracht die Windowscomputers en netwerkschrijven tegen ransomware moet beschermen. RansomFree, zoals de tool van Cybereason heet, kijkt naar het gedrag van de computer. Zodra er bestanden op de computer of netwerkschijf worden versleuteld staakt RansomFree dit proces en laat de gebruiker een pop-up zien om de aanval te stoppen.

Voor de ontwikkeling van de tool zegt Cybereason naar meer dan 40 verschillende ransomwarefamilies te hebben gekeken, zoals Locky, Cryptowall, TeslaCrypt, Jigsaw en Cerber. Aan de hand hiervan werden gedragskenmerken opgesteld om ransomware van legitieme applicaties te onderscheiden. "Alle ransomware werkt op dezelfde manier en versleutelt zoveel bestanden als mogelijk. Deze programma's kunnen niet bepalen welke bestanden belangrijk zijn en versleutelen dus alles gebaseerd op bestandsextensie", zegt Uri Sternfeld. Volgens het beveiligingsbedrijf is RansomFree de enige gratis tool die 99% van de ransomwarefamilies stopt, waaronder varianten die nog niet eerder zijn gezien.

Reacties (9)
20-12-2016, 12:54 door Anoniem
wat ik me dan afvraag: volgens mij heeft de meeste ransomware zn processen gelocked toch? hoe kan zon programma dan toch ingrijpen om de executable/service van de ransomware te stoppen?
20-12-2016, 13:28 door Anoniem
Processen locken kan helemaal niet. Hooguit kan het draaien onder verhoogde privileges zoals bijv SYSTEM of als een childproces van een Windows programma. In tweede geval kun je hem alsnog stoppen, eerste geval komt niet vaak voor.
Als ze naar bekende ransomware hebben gekeken zal het wel niet privileged draaien.
20-12-2016, 18:33 door Anoniem
Overbodige ad-/crapware, alle serieuze AV-oplossingen, inclusief Defender in Windows hebben dit soort functionaliteit (het observeren en reageren op verdacht gedrag, zoals het versleutelen van bestanden) al lang.
20-12-2016, 19:39 door Anoniem
Door Anoniem: Overbodige ad-/crapware, alle serieuze AV-oplossingen, inclusief Defender in Windows hebben dit soort functionaliteit (het observeren en reageren op verdacht gedrag, zoals het versleutelen van bestanden) al lang.

Dat is onzin, veel AV's kunnen ransomware alleen stoppen met signatures, niet met behavior blocking. Heb deze tool trouwens nog niet uitgeprobeerd, maar denk niet dat het ad of crapware is. Dat zou wel heel dom zijn aangezien het de naam van het bedrijf erachter zou kunnen beschadigen.
21-12-2016, 04:23 door Anoniem
Waarschijnlijk kijkt men naar API gebruik en standaard ransomware gedrag e.g. recursive search over hele systeem / hoge file read /write acties gevolgd door file delete / wipe, etc. Dus in het vervolg zien we dan wellicht ransomware welke zich op full-disk encryptie richt of langzaam het filesystem in kaart brengt voordat encryptie begint. Of simpelweg deze tool detecteert en om zeep helpt.
21-12-2016, 07:26 door denii
Is deze software ook geschikt voor zakelijke gebruikers? Zou niet verkeerd zijn op m'n fileserver.
21-12-2016, 10:49 door Joep Lunaar
Zonder het product te kennen, zou ik het niemand adviseren.

Programmatuur, die met system privileges draait (god), closed source en bovendien ook nog eens uit een nauwelijks te controleren bron: je bent niet goed wijs als je dat op je systeem zet. En dat gaat evenzo op voor nog vele andere o zo "handige" programmaatjes.
21-12-2016, 13:34 door Anoniem
Door Joep Lunaar: Zonder het product te kennen, zou ik het niemand adviseren.

Programmatuur, die met system privileges draait (god), closed source en bovendien ook nog eens uit een nauwelijks te controleren bron: je bent niet goed wijs als je dat op je systeem zet. En dat gaat evenzo op voor nog vele andere o zo "handige" programmaatjes.
Hoe kun je een product kennen?
22-12-2016, 20:32 door Anoniem
Door Joep Lunaar: Zonder het product te kennen, zou ik het niemand adviseren.

Programmatuur, die met system privileges draait (god), closed source en bovendien ook nog eens uit een nauwelijks te controleren bron: je bent niet goed wijs als je dat op je systeem zet. En dat gaat evenzo op voor nog vele andere o zo "handige" programmaatjes.

Het moet met system privileges draaien zodat het meer rechten heeft dan ransomware, en de meeste tools zijn closed source. Maar je moet inderdaad voorzichtig zijn met onbekende apps installeren, ook security tools kunnen soms verkapte spyware zijn. Het beste wat je kan doen is om internet toegang te blokkeren, indien mogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.