Pliki rzadkie jako pułapka na Ransomware


(krypton) #1

Witam, wpadłem na pomysł aby zastosować pliki rzadkie (sparse files, czyli miejsce fizycznie zajmują jedynie nie zerowe bloki) jako spowalniacza lub blokadę dla szyfrowania Ransomware. Polegałoby to na utworzeniu ponad 10TB plików rzadkich o rozmiarze około 10GB za pomocą narzędzia fsutil w głównym katalogu dysku i nadaniu im nazw liczbowych, jeśli dobrze kojarzę Ransomware zaczynają szyfrowanie alfabetycznie i przechodzą do podkatalogów, więc zostałyby zaszyfrowane w pierwszej kolejności. Pliki rzadkie rosną fizycznie wraz z postępem szyfrowania, wiec po jakimś czasie zabrakło by miejsca fizycznego na dysku, co spowodowałoby zablokowanie Ransomware lub przynajmniej spowolniło jego działanie.

Co sądzicie??

 

W załączniku znajduje się printscreen właściwości folderu z plikami rzadkimi. jeśli coś zaczęłoby je szyfrować to przywróciłoby im fizyczny rozmiar zapychając dysk i spowalniając szyfrowanie, dając czas na usunięcie wirusa.

Przechwytywanie.thumb.PNG.9da61c3ad25cb9


(ichito) #2

Pomysł może i ciekawy, ale dyski powyżej 10TB muszą kosztować masę kasy, nie mówiąc o dodatkowej pojemności na system i inne rzeczy. Parę tysięcy nawet to zbyt duży koszt by uzyskać tylko czasową ochronę i to wątpliwej skuteczności. Malware jest nieprzewidywalne i mówienie, że atakuje w kolejności alfabetycznej/numerycznej jest może i teraz regułą, ale nie musi nią być za miesiąc.

Zdecydowanie lepiej mieć coś do ochrony wrażliwych plików/folderów …coś typu Secure Folders albo funkcja ochrony plików w SpyShelter, co pozwoli tylko wybranym procesom na dostęp do zawartości. Ewentualnie anty-exe, które dopuści do pracy w systemie tylko zaufane aplikacje.


(krypton) #3

Nie zauważyłeś screena, pliki rzadkie wyzerowane zajmują fizycznie wyłącznie jedną jednostkę alokacji ( 4KB w wypadku klastra tej wielkości) a wirtualnie mogą mieć po parę EB i właśnie o to mi chodzi. Jeśli nawet nie zatrzyma to znacznie spowolni jego działanie a zapchany dysk zapobiegnie dalszemu szyfrowaniu. Proszę jednak zapoznać się z wpisem w wikipedii odnośnie sparse files. Jeśli nawet zmieniłby kolejność szyfrowania plików to suma sumarum i tak będzie chciał je zaszyfrować, a wtedy nawet początkujący użytkownik zauważy,iż coś jest nie tak (dysk mieli, brak miejsca, duże użycie procesora).

Kiedyś już miałem takie programy ochronne, więcej  się pytało, niż blokowało. Nie tak trudno w Windows podszyć się za proces systemowy lub wykorzystać uchwyt jądra, aby uzyskać dostęp do systemu plików, a jak napisałeś Malware jest nieprzewidywalne, ale raczej nie odpuści szyfrowania np.  *.JPG, które wiele dla niektórych znaczą i właśnie na tym zachowaniu bazuje moja metoda.