フロリダ大学とヴィラノバ大学の研究者は、ランサムウェアは標的のファイルに何が起きるかを監視することで阻止できると考えている。
この PDF の作成者は、「できる限り保存する」というアプローチを採用し、テスト環境でファイルの 0.2% を暗号化しただけでランサムウェアの被害を最小限に抑えることができたとテストで見積もっています。
この論文では、プログラムがユーザーの意図に反してファイルを暗号化していることを示す主な指標を 3 つ挙げています。
- ファイルタイプの一括変更。
- 非類似性 -暗号化されたファイルは平文とは全く異なる外観を持ちます。これは結局のところ、あらゆる暗号化に共通する特性です。
- エントロピー –暗号化の出力では一貫して高いエントロピーが生成されるはずです。
- 二次指標 – 一括ファイル削除や、マルウェアが生成するすべてのファイルが同じ種類のファイルになるファイル タイプのファンネルリングなど、上記の 3 つをサポートできる二次指標があります。
2 番目の主要な指標である類似性測定をサポートするために、研究者は と呼ばれるツールを使用します。このツールはsdhash、2 つのファイル (この場合は、暗号化されていないファイルと暗号化されたファイル) 間の類似性スコアを生成します。
Crypto Dropアーキテクチャ
研究者らは、全サンプルの平均パフォーマンスは合計5,099個中10個のファイルが失われたと計算しており、これは0.2%である。
この論文では、現状では Crypto Drop は正当なアクティビティ (PGP または圧縮ツールによるファイルの暗号化) と攻撃を区別するためにユーザーに依存する必要があると指摘しています。
Crypto Dropに対してテストされたランサムウェアファミリー
たとえそれを排除できないとしても、身代金要求書を受け取ってファイルを復元するためにビットコインを支払った人は、金を払う代わりに「大丈夫です、ファイルを圧縮します」というダイアログをクリックするだろうと Vulture South は確信している。
この研究は最近日本で開催された IEEE ICDCS 会議で発表されました。®
