PayPal的勒索软件检测技术获专利,称其概念独一无二

释放双眼,带上耳机,听听看~!

全球支付处理平台PayPal已获得一项技术专利,该技术可以帮助及时发现和减少勒索软件攻击。

“通常情况下,恶意方会要求用户向他支付一定数量的匿名加密货币(例如BitCoin),以便将用户的文件解密,以便再次访问它们,”根据PayPal的专利说明,大约三年前向美国专利商标局提交,并于2019年4月16日颁发。“如果用户不付款,那么这些文件可能仍然是加密的,无法访问。”

该专利详细说明了该公司以及计算机用户如何通过使用现有系统数据来检测和防止勒索软件锁定某些文件。

该技术将区分加载在计算机系统的高速缓存中的两个内容,比较这两个内容以确定版本是否已被更改和加密。如果发现这是真的,则将阻止勒索软件删除尚未更改的版本。从本质上讲,它会确保原始内容仍然可访问,即使勒索软件已经影响了更改后的版本。

专利的核心是PayPal声称可以检测到勒索软件感染发生的技术

PayPal说它的系统将监视何时在计算机的内存缓存系统中加载本地文件,当应用程序需要执行操作时,所有文件都被加载到该位置。


PayPal的系统将查找特定的操作模式: 当文件重复时,且对副本执行加操作。


这是许多勒索软件使用的常用技术,它加密原始文件的副本,然后永久删除原始文件,发送加密副本以便存储在磁盘上,以替换合法文件。


PayPal的解决方案是检测此模式并引入允许执行此类操作的应用程序白名单。


如果执行这些操作的应用程序进程不在白名单中,则PayPal的系统将停止该进程,和/或将原始文件的副本发送到远程云服务以进行备份存储。


其认为这与其他勒索软件检测系统相比,该概念是独一无二的。


例如,在2016年初,一位名叫Sean Williams的美国开发人员为Linux系统创建了勒索软件检测系统Cryptostalker,它监控文件系统中新写入的文件,如果文件是高速创建的,它们包含随机数据(加密内容),Cryptostalker将停止文件写入过程并提醒系统所有者。


同样,在2016年12月,网络安全公司Cybereason发布了现已解散的RansomFree应用程序,该应用程序使用包含特殊字符的文件夹名称检测勒索软件感染的发生,确保勒索软件首先加密存储在这些目录中的文件。RansomFree通过监视这些文件夹中的文件进行更改,检测进行更改的进程并停止更改。


另一个勒索软件检测系统包含在2017年10月发布的Windows 10 v1709中,增加了受控文件夹访问功能,自Windows 10 v1803起更名为Ransomware Protection。

微软的勒索软件检测系统允许Windows 10通过创建可以对用户选择的文件夹中的文件进行更改的已批准应用程序的白名单来检测勒索软件。尽管效率很高,但系统并没有被广泛使用,因为它需要大量的手动设置,包括将用户安装在他的计算机上的每个良性应用程序列入白名单,然后选择文件夹以接收勒索软件保护。

但在一般情况下,这些系统中没有一个能够在多年来产生实际影响。尽管勒索软件攻击到目前为止还有五十多年的历史,但没有可靠的勒索软件预防系统,勒索软件在用户计算机或企业内部网络上部署时仍然无法运行。

PayPal的系统在纸面上看起来很稳固,但它仍然需要通过现场测试才能在商业上可行。

该专利的作者是CyberSecurity Schlomi Boutnaru的前PayPal首席技术,现为云安全公司Rezilion的首席技术官。

“根据专利摘要,”通过检测勒索软件在计算机上运行(例如,通过在原始数据和不同缓存层中的内容之间进行关联),可以减轻或避免勒索软件的负面影响。


概念图如下:

专利链接:

https://pdfpiw.uspto.gov/.piw?docid=10262138

做勒索软件检测这块的兄弟可以参考一二。

但我感觉国内就是这么干的?我只是想起了勒索者终结者的作者。

近期看点(点击即可):

欢迎下方长按识别二维码关注本公众号

更多情报和数据,请关注公众号,点击菜单栏,扫码加入知识星球

感谢您的关注和转发

右下角

朕已阅

本文源自微信公众号:黑鸟

人已赞赏
安全工具

黑客攻击并劫持了希腊的顶级域名注册商后,竟搜索安全厂商网站?

2019-10-16 10:12:13

安全工具

【警告】XSHELL多版本后门分析

2019-10-16 10:12:17

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索