使用CipherTrust透明加密勒索软件保护阻止勒索软件的传播-编程知识

　　Thales实验室对十起勒索攻击的软件进行测试，效果理想。另外对于这些常见的勒索攻击方式也进行了大量模拟，都很好的进行了保护。

　　BleepingComputer.com上的文章涵盖了过去几个月(2024年1月至3月)最近的勒索软件攻击。本博客将展示，如果在这些受攻击的公司和政府组织中安装了Thales CipherTrust透明加密勒索软件保护(CTE-RWP)，他们的数据将得到保护和安全。

　　首先，让我们回顾一下当今网络安全专业人员使用的一些常见的勒索软件检测方法:行为、签名、二进制检测。

　　基于签名

　　许多勒索软件防护产品都是基于签名的。他们通过计算进程机器码的哈希值来识别给定的勒索软件，并将其与已知勒索软件签名的数据库进行比较。因此，这个勒索软件一定是之前被发现过并被添加到数据库中。然而，对原始勒索软件源代码的任何调整和重建都将绕过这种基于签名的解决方案。一个典型的例子是名为Sugar的勒索软件，它有大约200个版本，所以有200个不同的签名。

　　二进制检查

　　BasedOther勒索软件保护产品通过搜索可执行二进制文件来检测勒索软件，以寻找勒索软件进程的商标，例如看起来是赎金通知的文本，或指向加密库的链接。一些勒索软件程序通过混淆勒索信，甚至可执行的机器代码，在执行之前解密自己的二进制代码来规避这种检测。因此，在进程加载时不会检测到它。

　　基于行为

　　现在进入基于行为的解决方案。基于行为的勒索软件保护产品依赖于该勒索软件的行为，无论是在攻击时，还是在启动时，因为它准备攻击。CTE-RWP是基于行为的。CTE-RWP不仅监视典型行为，而且除了其他基于勒索软件保护行为的产品外，CTE-RWP还用抽象原则强调了这些技术。

　　一个关键点是CTE-RWP利用了所谓的非同步销毁。考虑一下烤蛋糕和吃蛋糕的类比。一个人烤一个蛋糕，每个步骤的顺序必须是同步的，但很多人可以同时吃掉或毁掉蛋糕。

　　同样，勒索软件的行为倾向于不同步类型的行为。您将看到许多文件被一个进程中的许多不同线程删除，它们之间没有顺序地随机来回切换。为什么?因为勒索软件并不关心你的数据。他们只是想快速加密您的数据并销毁任何原始副本，而不涉及同步。不同步破坏只是CTE-RWP关注的类似勒索软件行为的特征之一。

　　这些原则的基础是通过加密来监视文件内或跨文件的清晰读写操作的基本技术。CTE-RWP可以检测到这种异常的清除-读取-加密-写入行为，并经常在分页IOs将加密页面写入磁盘之前快速阻止该进程。数学方差、字节值频率、节的可压缩性和其他测量可以帮助CTE-RWP确定在读取和写入从透明数据到加密数据的过程中，整个文件是否发生了变化，无论是在该文件中还是在另一个文件中。

　　CTE-RWP的错误命中率非常低，使用可专利的技术来区分好行为和坏行为。最后，如果一个进程仍然短暂地表现出类似勒索软件的行为，那么CTE-RWP将提供一个豁免进程列表。防病毒软件属于这一类，因为它们扫描清除文件，但随后将加密的日志条目写入其日志。这可以在短时间内模拟勒索软件的行为。

　　结果

　　在泰雷兹实验室，我们测试了最近新闻报道的10起勒索软件攻击，CipherTrust透明加密勒索软件保护提醒并阻止了所有10起攻击。

　　在我们的实验室中，我们在vx-underground研究网站上选择了最近10次可以找到相应勒索软件的攻击，并使用该勒索软件攻击自己，以观察CTE-RWP的行为。最近测试的10个勒索软件是:

　　1 Lockbit

　　2 BlackBasta

　　3 Rhysida

　　4 Hive

　　5 Akira

　　6 Trigona

　　7 Play

　　8 BianLian