USD 67.52 ЕВРО 76.09

Создан инструмент, блокирующий программы-вымогатели на Mac OS X

Экономика

Инструмент RansomWhere? Определяет, что программы-вымогатели начинают шифровать файлы, а затем их блокирует
 
Исследователь безопасности создал бесплатный инструмент, который может обнаруживать попытки программ-вымогателей шифровать файлы на компьютерах Mac, а затем блокирует их прежде, чем они нанесут значительный вред.
 
Приложение RansomWhere? создано Патриком Уордлом, директором по исследованиям и разработкам в компании SYNACK. Оно предназначено для обнаружения и блокирования шифрования файлов с помощью подозрительных процессов.
 
Инструмент отслеживает состояние домашних каталогов пользователей на предмет быстрого создания зашифрованных файлов, что является верным признаком деятельности программ-вымогателей.
 
Когда такая активность обнаружена, RansomWhere? определяет ответственный процесс и приостанавливает его. Чтобы ограничить количество ложных срабатываний (принятие легитимных программ шифрования за программы-вымогатели), инструмент создает белые списки приложений, которые подписаны Apple, и включает в них большинство из тех, которые уже существуют на компьютере, когда впервые устанавливается RansomWhere?
 
Это означает, что для того, чтобы нормально работать, инструмент должен быть установлен на компьютерах, которые еще не были инфицированы вымогателями. Инструмент также не будет работать, если какая-либо из программ-вымогателей, которая впоследствии инфицирует компьютер, угонит или введет инъекцию кода в подписанное Apple приложение, и использует его для шифрования файлов
 

 Предупреждение RansomWhere?
 
Когда RansomWhere?приостанавливает процесс шифрования, он запрашивает у пользователя разрешение на продолжение операции, или прекращение этого действия. Это предоставляет пользователям возможность занести в белый список легальные программы шифрования.
 
Несмотря на то, что RansomWhere? в целом хорошо блокирует оппортунистические атаки программ-вымогателей, RansomWhere? не обеспечивает совершенную защиту, а также не утверждает, что уровень обнаружения 100%.
 
Прежде всего, блокирующий механизм RansomWhere? срабатывает только после того, как программа-вымогатель зашифрует несколько файлов, хотя их количество и ограничивается одним разрядом.
 
«RansomWhere? был разработан для остановки программ-вымогателей в OS X», пишет Уордл в своем блоге. «Однако,некоторая чать дизайна сознательно сделана так, чтобы улучшить надежность, простоту и скорость, а это может повлиять на возможности защиты. Во-первых, важно понимать, что защиту, предоставляемую любым инструментом безопасности, можно обойти. То есть, если новые программы-вымогатели для OS X будут разработаны специально для обхода RansomWhere?, скорее всего, им это удастся».
 
До недавнего времени вымогатели создавали программы почти исключительно для компьютеров на Windows, но все меняется. Есть уже вымогатели, которые инфицируют веб-серверы на базе Linuxе, и исследователи создали программы-вымогатели, доказывающие правильность концепции для OS X, чтобы показать, что платформа уязвима.