Kaspersky Lab Asya-Pasifik Virüs Merkezi başkanı Dong Yan 28 Mayıs'ta "Kasperskynin tespit ve savunma teknolojisi yeni bir ilerleme kaydetti. Kasperskynin kötü amaçlı yazılım analiz sistemi bulutta, Otonom sanallaştırma platformumuz, sanallaştırma platformunda kötü amaçlı yazılımların tespit edilmesini önleyebilir ve sanal analiz sistemindeki kötü amaçlı yazılımların çalışma hızı, gerçek ortamdan farklı değildir. "
Ayrıca, Kaspersky'nin analiz sisteminin, fidye yazılımının belirli davranışlarını ve kodlarını tespit etmenin yanı sıra, bilinmeyen fidye yazılımlarını tespit etmesini sağlayan fidye yazılımının genel davranışını da analiz edip tespit edebildiğini söyledi. Örneğin, WannaCry'nin orijinal versiyonu bu teknikle tespit edildi. Ek olarak, Kaspersky Cloud Analysis System, uzun döngüler ve yansıtıcı yükleme gibi fidye yazılımı karşı önlemlerini de algılayabilir.
Kaspersky Lab Asya-Pasifik Virüs Merkezi Başkanı Dong Yan
2017'de arka arkaya patlak veren sonsuz mavi (WannaCry), Bad Rabbit, Petya ve diğer fidye yazılımları, hükümet, eğitim, hastaneler, enerji, iletişim ve imalat gibi birçok önemli bilgi altyapısı alanında eşi görülmemiş ağır kayıplara neden oldu.
Şirketlerin fidye yazılımı saldırılarına karşı korumayı sonuna kadar sürdürmeye kararlı olması gibi, fidye yazılımı da sessiz karşı saldırılara çoktan başladı. 2018'den bu yana, fidye yazılımının karmaşıklığı ve varyantlarının hızı artmış ve çeşitli gizleme teknikleri ve daha ince tasarımların kullanılmasıyla saldırıların doğruluğu sağlanmıştır.
Orijinal WannaCry sürümünün sade arayüzü
Günümüzün çevrimiçi dünyasında fidye yazılımı tehditleri oluşmaya devam ediyor. Kaspersky Lab, fidye yazılımı araştırmalarını hiç durdurmadı. Son zamanlarda Kaspersky Lab, fidye yazılımı ile saldırı ve savunma teknolojisinin gelişimini iyi bir şekilde yorumladı.
1989'dan beri, AIDS / PC Cyborg fidye yazılımı başladı. Fidye yazılımı genellikle iki biçimde gelir: biri, kullanıcının bilgisayarını veya cep telefonunu kilitleyen ve kurbanın kilidi açmak için fidye ödemesini gerektiren kilit ekranıdır; diğeri ise kullanıcı dosyalarını şifreleyen ve kurbanın dosyaların şifresini çözmek için fidye ödemesini gerektiren şifrelemedir. Şu anda, karşılaştığımız temel dosya şifreleme fidye yazılımı.
Genel fidye yazılımı bulaşma ve yok etme süreci: Fidye yazılımı yazarı, kullanıcı dosyalarını şifrelemek için simetrik bir şifreleme algoritması ve anahtarı korumak için asimetrik bir şifreleme algoritması kullanır. Anahtar uzunluğu yeterli ise kırılamayacağı söylenebilir.
Kaspersky, WannaCry ve ExPetr'in özelliklerini analiz etti. WannaCry ile önceki versiyonu arasında önemli bir fark yoktur, ancak sonsuz mavi istismarın ortaya çıkması nedeniyle kısa sürede bir enfeksiyon salgınına neden oldu. Kaspersky örnek izlenebilirlik sistemi aracılığıyla Kaspersky araştırmacıları, WannaCry'nin orijinal sürümünü keşfettiler ve bunun, Bangladeş bankalarına saldırmak için Kuzey Koreli Lazarus tarafından kullanılan Contopee arka kapısıyla aynı kodu paylaştığını buldular.
GandCrab, ambalajın kendisini gizlemek için Nsis'i kullanıyor
ExPetr sadece intranet yayılımı için Eternal Blue güvenlik açığı istismarını kullanmakla kalmaz, aynı zamanda intranette yanal olarak hareket etmek için APT saldırılarını da kullanır. ExPetr, 2015 sonunda Ukrayna elektrik santrallerine saldıran BlackEnergy sabit disk silme programına benzer bir koda sahip. Bu aynı zamanda araştırmacıların, ExPetr'in BlackEnergy'yi geliştiren tanınmış Rus APT saldırı organizasyonu Sofacy'ye kadar izlenebileceğine inanmalarına da yol açtı.
Yerli popüler GlobeImposter ve GandCrab'ın özellikleri analiz edildi. Her ikisi de, güvenlik yazılımlarına ve güvenlik satıcılarının analiz sistemlerine karşı koymak için uzun döngüler ve yansıtıcı yükleme gibi çeşitli yöntemler kullanır ve bu da, mükemmel bir aktif savunma sistemi olmadan güvenlik yazılımını saldırılarına karşı koyamaz hale getirir.
Ancak tüm bunlara rağmen, Kaspersky'nin gelişmiş anti-virüs teknolojisi oldukça kolay görünüyor.
"İstemci tarafında, fidye yazılımlarına karşı savunma yapmak için gelişmiş teknik araçlara sahibiz. Kasperskynin aktif savunma sistemi, fidye yazılımının çalışma sırasında davranışını analiz edebiliyor. Geleneksel statik dosya analizi ve sezgisel analiz tekniklerine ek olarak. Davranış fidye yazılımı davranış modeline uygun olduğunda engellenecek ve tüm işlemleri geri alınacak ve fidye yazılımı tarafından şifrelenen dosyalar ve fidye yazılımı tarafından değiştirilen kayıt defteri ayarları geri yüklenecek. "Dong Yan, Kaspersky'nin de tanıttığını söyledi. Yerel hassas hashing teknolojisinin VisHash teknolojisi, bir grup benzer kötü amaçlı yazılım örneğini öldürmek için bir VisHash kullanmayı mümkün kılar ve ayrıca bazı virüsler tarafından kullanılan basit "anti-virüs teknolojisini" geçersiz kılar.Örneğin, 2018'de Çin'de öfkelenen GlobeImposter örneği Aslında kodlar birbirine çok benziyor ve bu örnekler bir VisHash ile kapsanabilir.