Sergey Nivens - Fotolia

Une protection générique contre les rançongiciels ?

La menace des ransomwares peut-elle s’étendre aussi vite qu’elle est apparue ? Des experts travaillent à des solutions génériques susceptibles de détecter ces logiciels malveillants alors qu’ils commencent à œuvrer.

Patrick Wardle, directeur recherche et développement de Synack, vient de présenter RansomWhere, un logiciel pour OS X qui ambitionne de déjouer de manière générique tous les rançongiciels. L’idée est simple : « identifier un point commun à tous les ransomware, la création de fichiers chiffrés ». Et pour cela, le logiciel « détecter les processus ne bénéficiant pas d’un niveau de confiance élevé et qui chiffrent des fichiers personnels ». Dès qu’un tel processus est identifié, RansomWhere en suspend l’exécution et alerte l’utilisateur. Ce dernier peut décider de laisser le processus reprendre son exécution ou de l’interrompre pour de bon.

Dans un billet de blog, l’auteur de ce logiciel de protection contre les rançongiciels en détaille le fonctionnement. Et celui-ci présuppose une installation sur un système sain : au premier lancement, RansomWhere inspecte le système et classifie les processus en cours d’exécution avant de commencer à surveiller les entrées/sorties afférantes au système de fichiers.

L’outil a fait ses preuves, notamment, contre KeRanger, le plus récent ransomware pour OS X connu à ce jour. Mais Patrick Wardle n’en reconnaît pas moins des limites. Et cela commence par la réactivité : le blocage ne peut survenir qu’alors que le chiffrement a commencé. En outre, RansomWhere ne surveille que les accès aux fichiers personnels des utilisateurs et fait explicitement confiance aux binaires signés par Apple : un détournement de binaire signé pourrait le déjouer. Et c’est sans compter, enfin avec le risque de faux positifs.

L’auteur reconnaît, humblement, que son outil peut considérablement évoluer et progresser. Mais il n’est pas le seul à travailler dans cette direction. Malwarebytes en fait autant. Dans un billet de blog, l’éditeur indique avoir racheté EasySync Solutions l’an passé précisément pour son application batisée CryptoMonitor.

Disponible en phase de beta test, ce logiciel surveille les activités susceptibles de trahir un rançongiciel et les interrompt avant qu’il n’ait eu le temps de faire les dégâts que l’on connaît. Selon Malwarebyte, CryptoMonitor parvient avec succès à bloquer notamment CryptoLocker, CryptoWall et CTBLocker, notamment. Mais il n’est pas exempt de défauts, puisqu’en phase de test exclusivement, et semble notamment souffrir d’un niveau élevé de faux positifs. 

Pour approfondir sur Protection du terminal et EDR

Close