Detecting cryptographic ransomware by examining file system activity

Abstract

Kriptografik Fidye Yazılımları, üzerinde çalıştığı sistemdeki dosyaları gelişmiş kriptografik yöntemlerle şifreleyen ve kullanıcının tekrar erişim sağlayabilmesi için fidye talep eden yazılımlardır. Saldırganlara, kullanıcılardan kolayca para koparmayı sağlaması sebebiyle günümüzün en popüler ve tehlikeli siber tehditlerinden biridir. Kriptografik fidye yazılımlarını yakalamak ve durdurmak için çeşitli yöntemler sunulmuş olmasına rağmen son yapılan araştırmalarla beraber, bu yaklaşımların atlatılmak için kullanılabilecek hataları bulunmuştur.Tez kapsamında, kriptografik fidye saldırılarını başladıktan kısa bir süre sonra durduracak bir yaklaşım, CryptoCop, sunmaktayız. Kriptografik fidye yazılımlarının ayırt edici özelliği aşırı dosya yazma işlemi olması sebebiyle, tanımladığımız korunma mekanizması çalışan uygulamaların dosya yazma isteklerini sınırlamaktadır. Belirlediğimiz eşik değeri iyi huylu uygulamaların çalışmaya devam etmesine olanak verecek şekilde uyarlanmaktadır. Elde ettiğimiz verilere göre,CryptoCop ihmal edilebilir performans kaybı ve az sayıda dosya kaybı ile kötümcül yazılımların bu türünü durdurmayı %96 lık bir oranla başarmaktadır.

Cryptographic ransomware, which locks a victim's files and demands payment to re-establish access, is one of the most dangerous and popular cyber crimes of today as it gives attackers a golden opportunity to extort money. Although many different approaches are presented to detect and prevent this troublesome malware, recent research suggests that none of these approaches are flawless and they can be bypassed.In this thesis, we propose CryptoCop, a protection system that stops a ransomware attack in the early stages. The defense mechanism limits the applications' capability of executing file write functions, which is excessively performed by a typical ransomware. We define an adaptive threshold mechanism for file write requests of each running process, which facilitates benign file system operations while terminating the malicious activity. The results of experiments show that CryptoCop is able to stop 706 out of 736 (96%) ransomware samples with minimal loss of files -less than 5- and a negligible performance overhead.