勒索軟件檢測出新技術(shù)！PayPal獲美國專利，其技術(shù)可以檢測勒索軟件感染的早期階段，并及時阻止勒索軟件的進(jìn)程。

據(jù)外媒報道，PayPal獲美國專利，其技術(shù)可以檢測勒索軟件感染的早期階段，并采取兩種應(yīng)對措施：停止加密過程，或在文件被加密之前，將副本保存到遠(yuǎn)程服務(wù)器。

這項專利的核心是可以檢測勒索軟件感染時的操作。PayPal表示，它的系統(tǒng)會監(jiān)控本地文件何時加載到計算機(jī)的內(nèi)存緩存系統(tǒng)中，也就是應(yīng)用程序需要執(zhí)行操作時加載文件的地方。

PayPal的系統(tǒng)將尋找特定的操作：文件被復(fù)制或副本被加密。這是許多勒索軟件使用的常見技術(shù)，對原始文件的副本進(jìn)行加密，然后永久刪除原始文件，再將加密的副本發(fā)送到磁盤上存儲以替換合法文件。

PayPal的解決方案是檢測這種方式，并引入一個允許執(zhí)行此類操作的應(yīng)用程序白名單。如果執(zhí)行這些操作的應(yīng)用程序進(jìn)程不在白名單上，PayPal的系統(tǒng)將停止該進(jìn)程，并將原始文件的副本發(fā)送到遠(yuǎn)程云服務(wù)進(jìn)行備份存儲。

雖然以前就出現(xiàn)了勒索軟件檢測系統(tǒng)，但每種勒索軟件檢測系統(tǒng)都有各自的特點(diǎn)。比如2016年初，一名美國開發(fā)人員Sean Williams為Linux系統(tǒng)創(chuàng)建了稱為Cryptostalker的勒索軟件檢測系統(tǒng)，用于監(jiān)控文件系統(tǒng)中新寫入的文件。如果文件被高速創(chuàng)建并包含隨機(jī)數(shù)據(jù)，Cryptostalker將停止文件寫入過程并發(fā)出警報。

同樣，在2016年12月，網(wǎng)絡(luò)安全公司Cybereason發(fā)布了現(xiàn)已不存在的RansomFree，該應(yīng)用使用包含特殊字符的文件夾名，讓勒索軟件首先加密存儲在這些文件夾中的文件，以此來檢測勒索軟件感染的開始。RansomFree的工作原理是監(jiān)視這些文件夾中的文件，在發(fā)現(xiàn)文件發(fā)生改變后，停止勒索軟件攻擊。

另一個勒索軟件檢測系統(tǒng)在2017年10月發(fā)布的Windows 10 v1709中，該版本增加了“Controlled Folder Access”功能，Windows 10 v1803中更名為“Ransomware Protection”。微軟的勒索軟件檢測系統(tǒng)允許Windows 10通過創(chuàng)建一個可對用戶選擇文件夾中的文件進(jìn)行修改的應(yīng)用程序白名單來檢測勒索軟件。

盡管該系統(tǒng)非常高效，但它并沒有得到廣泛的應(yīng)用，因為它需要大量的手動設(shè)置，比如需要將電腦上的每一個應(yīng)用程序進(jìn)行白名單，并選擇文件夾來防御勒索軟件。

總的來說，這些檢測系統(tǒng)多年來都沒有產(chǎn)生實際意義的影響。盡管勒索軟件攻擊已經(jīng)有五年多的歷史了，但目前還沒有一個可靠的勒索軟件預(yù)防系統(tǒng)。當(dāng)勒索軟件出現(xiàn)在用戶的電腦或企業(yè)內(nèi)部網(wǎng)絡(luò)時，設(shè)備仍然會失控。

PayPal的系統(tǒng)看起來很可靠，但是否真正可行，還需要通過“實戰(zhàn)”測試。