Online-Dienst zur Identifizierung von Ransomware

Bei der Incident Response von Ransomware-Ausbrüchen ist es essenziell, dass man ziemlich schnell weiss, mit welchem Typ von Malware man es zu tun hat, um die First Response auch entsprechend ableiten zu können. Nicht gerade Vorteilhaft, wenn man auf eine statische Analyse warten muss, um weitere Infos zu erhalten, wonach man überhaupt sonst noch so suchen muss. Oder als Worst Case: Man hat nur die verschlüsselten Files und keine Malware und kann nicht feststellen, wie genau die Malware sich verhält oder wo man weitersuchen könnte…

Das selbe Problem scheint auch der Twitter-User Michael Gillespie (@demonslay335) zu kennen und hat deshalb eine Plattform „ID Ransomware“ ins Leben gerufen, auf welcher entweder die Erpresser-Files oder aber gleich verschlüsselte Daten hochladen und analysieren lassen kann:

id_ransomware

Nach eigenen Aussagen erkennt man aktuell 59 Ransomware-Familien:

7ev3n, AutoLocky, BitMessage, Booyah, Brazilian Ransomware, BuyUnlockCode, Cerber, CoinVault, Coverton, Crypt0L0cker, CryptoFortress, CryptoHasYou, CryptoJoker, CryptoTorLocker, CryptoWall 2.0, CryptoWall 3.0, CryptoWall 4.0, CryptXXX, CrySiS, CTB-Locker, DMA Locker, ECLR Ransomware, EnCiPhErEd, Hi Buddy!, HOW TO DECRYPT FILES, HydraCrypt, Jigsaw, JobCrypter, KeRanger, KryptoLocker, LeChiffre, Locky, Lortok, Magic, Maktub Locker, MireWare, Mobef, NanoLocker, Nemucod, OMG! Ransomcrypt, PadCrypt, PClock, PowerWare, Radamant, Radamant v2.1, RemindMe, Rokku, Samas, Sanction, Shade, SuperCrypt, Surprise, TeslaCrypt 0.x, TeslaCrypt 2.x, TeslaCrypt 3.0, TeslaCrypt 4.0, UmbreCrypt, VaultCrypt, WonderCrypter

Meine Tests mit CryptoLocker und HydraCrypt haben leider weder mit verschlüsselten noch mit Erpressungs-Files funktioniert, aber einerseits hat die Plattform ja noch potenzial zu wachsen und andererseits ist im Falle eines Ausbruches jedes Mittel recht, selbst wenn es nur bei 10% der Samples etwas hilfreiches hervor bringt…

Zu finden ist die Plattform unter id-ransomware.malwarehunterteam.com.

Bei sehr konstanter Erkennungsrate wäre es natürlich ganz cool eine API zu haben. Ich stelle mir hier Dinge vor wie automatische Alarms auf verdächtige Files, welche dann über die API geprüft und eindeutig identifiziert werden, etc. Zukunftsmusik aber eigentlich gar nicht mal so verkehrt der Gedanke… 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.