PayPal entwickelt Rüstzeug gegen Erpressungstrojaner
PayPal hat ein Patent für den Kampf gegen Ransomware-Attacken eingetragen. Wo der Ansatz zum Einsatz kommt, ist bislang aber unbekannt.
Einem US-Patentantrag zufolge hat der Online-Bezahldienst PayPal eine Waffe gegen Verschlüsselungstrojaner entwickelt. Nun hat das United States Patent and Trademark Office das Patent mit der Nummer 10262138 bewilligt.
Der Ansatz soll Ransomware-Angriffe frühzeitig erkennen und den Verschlüsselungsprozess stoppen können. Außerdem soll man darüber unverschlüsselte Original-Dateien auf einen Remote-Server kopieren können.
PayPals Ansatz
Für die Erkennung eines Infektionsstarts soll ihre Methode das Memory-Cache-System von Computern überwachen. Dort landen alle Dateien, auf die eine Anwendung eine Operation ausführen will.
An diesem Ort soll PayPals Methode nach für Ransomware verdächtigen Dateioperationen wie der Duplizierung von Dateien und auf die Duplikate angewendete Verschlüsselungsvorgänge – beispielsweise zu erkennen an Dateioperationen mit hoher Entropie – Ausschau halten. Erpressungstrojaner arbeiten so, dass sie Dateien duplizieren, das Duplikat verschlüsseln und die Original-Datei unwiederbringlich löschen.
Damit es keine Probleme mit legitimen Anwendungen gibt, die ähnliche Dateioperationen ausführen, soll PayPals Schutz eine Whitelist mit erlaubten Anwendungen anlegen. Schlägt nun eine Ransomware zu, die nicht in der Liste auftaucht, soll die Lösung den Prozess stoppen und Original-Dateien automatisch sichern. In welcher Form PayPals Ansatz für Endnutzer zum Einsatz kommen soll, ist bislang unbekannt.
Andere Ransomware-Schutzkonzepte
Bislang haben Anti-Ransomware-Konzepte andere Herangehensweise an den Tag gelegt. Beispielsweise Cryptostalker hat das Dateisystem überwacht und eingegriffen, wenn zu einem Zeitpunkt sehr viele Dateien mit hoher Entropie erzeugt wurden.
Windows 10 bringt bereits eine Ransomware-Gegenmaßnahme mit: Der überwachte Ordnerschutz erlaubt es nur zugelassenen Programmen auf bestimmte Ordner mit eigenen Dateien zuzugreifen. Das kann helfen, ist standardmäßig aber nicht aktiviert und erfordert einiges an Konfigurationsaufwand.
Bedrohungslage
Nach prominenten Vertretern wie 2016 Locky und 2017 WannaCry scheint die Hochzeit der Erpressungstrojaner vorerst vorbei zu sein. 2018 waren etwa Kryptominer auf dem Vormarsch.
Nichtsdestotrotz ist immer noch viel Ransomware unterwegs und wird oft über Mails mit Fake-Bewerbungen/-Rechnungen für Windows-PCs verbreitet. Man muss also nach wie vor auf der Hut sein und bei E-Mail-Anhängen und Links argwöhnisch bleiben. (des)