Crypto Drop尝试寻找文件被加密的蛛丝马迹
来自福罗里达州立大学和维拉诺瓦大学的研究人员认为可以通过监控其对目标文件的操作来制止恶意软件。
通过一种“能救多少救多少”的方法,研究人员发布的论文表明,在测试环境下,仅在勒索软件加密了全部文件的0.2%时就能够进行防护,减少其造成的破坏。
该论文将恶意软件正在违背用户意愿,对文件进行加密的观测指标列为以下三个:
大量改动 文件类型 不相似性: 被加密的文件看上去一点也不像明文。当然,也这是所有加密行为的特征 热熵: 加密行为将会显著增大设备散热口的热排放当然,也有一些次要指标,来对以上的三个主要指标进行弥补,比如大量删除文件,文件类型单一化(恶意软件会将所有文件都变成同一个文件类型)
为了支持第二个主指标,即不相似性,研究人员使用了一种被称为 sdhash 的工具,它能够监测两个文件之间的相似度,也即未加密的文件和已经加密的文件。
Crypto Drop架构
研究人员评测得到的效果中位数如下:在总共的5099个文件中,丢失了10个,也即0.2%。
论文中提到,在目前的情况下,Crypto Drop必须依赖用户来确定合法操作(使用PGP或其它加密工具来加密文件)和黑客攻击。
尽管无法彻底消除威胁,Vulture South仍旧十分肯定那些收到勒索信息,被黑客要求用比特币支付赎金解密文件人应当会更喜欢点击“没关系,我在加密文件”的按钮,而不是直接被吓坏。
这项研究已经在于日本举行的IEEE ICDCS大会上发表。