-
-
RansomeWhere,Mac OS X上偵測勒索病毒的工具
-
2016-4-23 04:31
-
内容来自:http://securityaffairs.co/wordpress/46534/breaking-news/ransomwhere-detection-tool.html
自己翻译的,水平不好请别见怪
前任NSA专家Patrick Wardle设计出一款用来保护Mac的免费侦测勒索病毒的工具─RansomeWhere
目前勒索软体攻击正在成长中,几乎每个星期地下犯罪世界就会用更进步的手法制造新的威胁进而对各行各业造成经济损失。
每天安全专家必须面对数以千计的勒索软体样本,因此有必要一款能多层次(multi-layered approach)方法去保护系统免於新的威胁。传统的特徵码辨别,已经无法适应快速变化的勒索软体了。
很多防毒软体厂商为此使用了恶意软体行为监控系统,这样的监控系统监视有任何可疑行为的程式,像是:访问大量文件丶使用加密库丶用不被信任的进程加密活动行为。
现在Mac用户可以在他们的军火库中多添加一项工具了,RansomeWhere是一个免费勒索软体检测工具。
该工具是由前NSA专家Patrick Wardle和他的团队─Synack所研发出来的,其原理是利用专门对勒索软体的恶意行为监控系统,这也就代表他会持续对可疑进程创造的加密文件的文件系统进行监控。
「因为这款软体是侦测不正常快速创建加密文件的可疑进程,所以无可避免的会被加密几个文件」Patrick Wardle在他的blog上说道。
这款软体的使用建立在信任的基础上,他会苹果开发者的ID扫描Mac程序和二进制文件。
专家特别指出如果勒索软体滥用(abused)苹果的二进制文件,那这个软体其实没多大用处。另外一项缺点是,这款软体不会去监控本来就存在系统上的application,也就是说如果再安装之前就中奖的话,RansomeWhere是侦测不到的。
专家展示了RansomeWhere在对抗勒索软体的效率,包括KeRanger和Gopher 。
最後一项缺失是该软体不能监控家目录以外的地方,也就是说勒索软体可以把他们拖到家目录以外的地方在加密
Walter强调这个工具可能被攻击者规避掉,黑客Vilaca已经为了欺骗RansomeWhere改良他的Gopher并读了
自己翻译的,水平不好请别见怪
前任NSA专家Patrick Wardle设计出一款用来保护Mac的免费侦测勒索病毒的工具─RansomeWhere
目前勒索软体攻击正在成长中,几乎每个星期地下犯罪世界就会用更进步的手法制造新的威胁进而对各行各业造成经济损失。
每天安全专家必须面对数以千计的勒索软体样本,因此有必要一款能多层次(multi-layered approach)方法去保护系统免於新的威胁。传统的特徵码辨别,已经无法适应快速变化的勒索软体了。
很多防毒软体厂商为此使用了恶意软体行为监控系统,这样的监控系统监视有任何可疑行为的程式,像是:访问大量文件丶使用加密库丶用不被信任的进程加密活动行为。
现在Mac用户可以在他们的军火库中多添加一项工具了,RansomeWhere是一个免费勒索软体检测工具。
该工具是由前NSA专家Patrick Wardle和他的团队─Synack所研发出来的,其原理是利用专门对勒索软体的恶意行为监控系统,这也就代表他会持续对可疑进程创造的加密文件的文件系统进行监控。
「因为这款软体是侦测不正常快速创建加密文件的可疑进程,所以无可避免的会被加密几个文件」Patrick Wardle在他的blog上说道。
这款软体的使用建立在信任的基础上,他会苹果开发者的ID扫描Mac程序和二进制文件。
专家特别指出如果勒索软体滥用(abused)苹果的二进制文件,那这个软体其实没多大用处。另外一项缺点是,这款软体不会去监控本来就存在系统上的application,也就是说如果再安装之前就中奖的话,RansomeWhere是侦测不到的。
专家展示了RansomeWhere在对抗勒索软体的效率,包括KeRanger和Gopher 。
最後一项缺失是该软体不能监控家目录以外的地方,也就是说勒索软体可以把他们拖到家目录以外的地方在加密
Walter强调这个工具可能被攻击者规避掉,黑客Vilaca已经为了欺骗RansomeWhere改良他的Gopher并读了
[培训]科锐软件逆向50期预科班报名即将截止,速来!!! 50期正式班报名火爆招生中!!!
|
|
|---|---|
