PayPal ontwikkelt techniek om ransomware-aanvallen te detecteren

PayPal heeft een techniek gepatenteerd om ransomware-aanvallen bij online betalingen tegen te houden. Het online betaalsysteem beweert het begin van een ransomware-infectie te kunnen detecteren. Het United States Patent and Trademark Office kende het patent toe, zo bericht ZDNet.

PayPal stelt dat het de vroege stadia van een ransomware-infectie kan detecteren. Na detectie is het bedrijf in staat om het encryptieproces te stoppen, dan wel een kopie van het originele bestand op een remote server op te slaan als back-up, zodat deze later kan worden hersteld.

Actiepatroon

Volgens het bedrijf houdt het ontwikkelde systeem in de gaten wanneer lokale bestanden in het geheugencachesysteem van een computer worden geladen. Dit is de plaats waar alle bestanden worden geladen, wanneer een toepassing een bewerking moet uitvoeren. Het systeem zoekt vervolgens naar een bepaald actiepatroon. wanneer het bestand wordt gedupliceerd en encryptiebewerkingen worden uitgevoerd op het duplicaat.

Dit is een veelgebruikte techniek bij ransomware, waarbij een kopie van het originele bestand wordt versleuteld en het origineel permanent verwijderd. De versleutelde kopie wordt vervolgens verzonden voor opslag op schijf, om het legitieme bestand te vervangen. 

De door PayPal gepatenteerde oplossing is om dit patroon te detecteren en een whitelist van applicaties te introduceren. Deze mogen dergelijke acties uitvoeren. Als het app-proces dat deze bewerkingen uitvoert niet op de whitelist staat, stopt het systeem het proces. Maar het kan ook zijn dat het een kopie van het originele bestand naar een externe cloudservice voor back-upopslag verstuurt.

Uniek concept

Het is een op papier uniek concept vergeleken met andere ransomware-detectiesystemen, waarvan geen enkele in de loop der jaren daadwerkelijk impact heeft gehad. Zo ontwikkelde bijvoorbeeld de Amerikaan Sean Williams begin 2016 een ransomware-detectiesysteem voor Linux-systemen, genaamd Cryptostalker. Deze oplossing bewaakte het bestandssysteem voor nieuw geschreven bestanden. Als de bestanden met hoge snelheden werden gemaakt én ze willekeurige gegevens bevatten, zou Cryptostalker stoppen met het schrijven van het bestand. De systeemeigenaar werd daarna gewaarschuwd.

Verder bracht het internetbedrijf Cybereason in december 2016 de niet langer gebruikte RansomFree-app uit. Deze app detecteerde het begin van een ransomware-infectie aan de hand van mapnamen met speciale tekens, die ervoor zorgden dat eerst bestanden in deze mappen werden versleuteld. RansomFree monitorde deze bestanden op veranderingen, detecteerde het proces dat de wijzigingen aanbracht en wist het te stoppen.

Ook Microsoft waagde een poging met een ransomware-detectiesysteem, als onderdeel van Windows 10 1709, uitgebracht in oktober 2017. Dit systeem stelt Windows 10 in staat om ransomware te detecteren door een whitelist van goedgekeurde apps te maken. Deze kunnen wijzigingen in bestanden in door de gebruiker geselecteerde mappen aanbrengen. Het systeem vereist veel handmatige instellingen, bestaande uit het op de whitelist plaatsen van elke goedaardige app, die de gebruiker op zijn computer heeft geïnstalleerd. Gevolgd door het selecteren van mappen om ransomware-bescherming te ontvangen. Het systeem werkt goed, maar door de vele handmatige instellingen  wordt er niet veel gebruik van gemaakt.

Gerelateerd: Android-malware Gustuff stal cryptovaluta en bankdata uit ruim 125 apps