გამოსასყიდი პროგრამის დაცვა

PRX-SD შეიცავს გამოსასყიდი პროგრამის ქცევის რეალურ დროში გამომსაზღვრელ გამოძიებულ RansomwareDetector ძრავას. სიგნატურა-ზე დაფუძნებული გამოვლენისგან განსხვავებით, რომელიც ცნობილ ნიმუშებს საჭიროებს, გამოსასყიდ-დეტექტორი ქცევით ევრისტიკებს ფაილების დაშიფვრის დასრულებამდე zero-day გამოსასყიდ-გამოსავლენად იყენებს.

როგორ მუშაობს

გამოსასყიდ-დეტექტორი რეალურ დროში მონიტორის ნაწილად მუშაობს და ფაილ-სისტემის მოვლენებს აქტიური დაშიფვრის მაჩვენებელ შაბლონებზე ანალიზებს. ის სამ გამოვლენის ღერძზე ოპერირებს:

1. ჯგუფური დაშიფვრის გამოვლენა

დეტექტორი ფაილ-ცვლილების სიხშირეს პროცესსა და დირექტორიაზე ადევნებს. ერთი პროცესის მიერ მოკლე დროის ინტერვალში ფაილების ანომალიურად მაღალი რაოდენობის შეცვლისას alert ააქტიურდება.

პარამეტრი	ნაგულისხმევი	აღწერა
batch_threshold	20	გამოვლენის ასაქტიურებელი ფაილ-ცვლილებების რაოდენობა
batch_window_secs	10	ჯგუფური დათვლის დროის ინტერვალი წამებში
min_files_affected	5	Alert-მდე განსხვავებული ფაილების მინიმალური რაოდენობა

[ransomware]
enabled = true
batch_threshold = 20
batch_window_secs = 10
min_files_affected = 5

2. გაფართოების ცვლილების მონიტორინგი

გამოსასყიდი პროგრამა ჩვეულებრივ ფაილებს დაშიფვრის შემდეგ ახალი გაფართოებით გადარქმევს. დეტექტორი მასობრივ გაფართოების ცვლილებებს, განსაკუთრებით ცნობილ გამოსასყიდ-გაფართოებებზე, ადევნებს:

.encrypted, .enc, .locked, .crypto, .crypt, .crypted,
.ransomware, .ransom, .rans, .pay, .pay2key,
.locky, .zepto, .cerber, .cerber3, .dharma, .wallet,
.onion, .wncry, .wcry, .wannacry, .petya, .notpetya,
.ryuk, .conti, .lockbit, .revil, .sodinokibi,
.maze, .egregor, .darkside, .blackmatter, .hive,
.deadbolt, .akira, .alphv, .blackcat, .royal,
.rhysida, .medusa, .bianlian, .clop, .8base

WARNING

გაფართოების მონიტორინგი მარტო საკმარისი არ არის -- მოწინავე გამოსასყიდი პროგრამა შეიძლება შემთხვევით ან ლეგიტიმური-გარეგნობის გაფართოებებს იყენებდეს. PRX-SD გაფართოების ცვლილებებს ენტროპია-ანალიზთან ერთად სანდო გამოვლენისთვის ავლის.

3. მაღალი ენტროპიის გამოვლენა

დაშიფრულ ფაილებს ბაიტ-დონის ანალიზით თითქმის მაქსიმალური Shannon ენტროპია (8.0-სთან ახლოს) აქვს. დეტექტორი ფაილის ენტროპიას ცვლილებამდე და შემდეგ ადარებს:

მეტრიკა	ბარიერი	მნიშვნელობა
ფაილ-ენტროპია	> 7.8	ფაილის შინაარსი სავარაუდოდ დაშიფრული ან შეკუმშულია
ენტროპიის delta	> 3.0	ფაილი დაბალი ენტროპიიდან მაღალზე გადავიდა (დაშიფვრა)
Header-ის ენტროპია	> 7.5	პირველი 4KB მაღალ-ენტროპიულია (ორიგინალი მაგიური ბაიტები განადგურებულია)

ფაილის ცვლილების შემდეგ ენტროპიის მნიშვნელოვანი ნახტომი, მაშინ, როდესაც ფაილი ადრე ცნობილი დოკუმენტ-ტიპი იყო (PDF, DOCX, სურათი), დაშიფვრის ძლიერი ინდიკატორია.

გამოვლენის ქულება

ყოველი გამოვლენის ღერძი კომბინირებულ გამოსასყიდ-ქულაში წვლილს შეაქვს:

სიგნალი	წონა	აღწერა
ჯგუფური ფაილ-ცვლილება	40	ერთი პროცესის მიერ სწრაფად შეცვლილი ბევრი ფაილი
ცნობილ გამოსასყიდ-გაფართოებაზე ცვლილება	30	გამოსასყიდ-გაფართოებით გადარქმეული ფაილი
უცნობ გაფართოებაზე ცვლილება	15	უჩვეულო ახალი გაფართოებით გადარქმეული ფაილი
მაღალი ენტროპიის delta	25	ფაილ-ენტროპიის მნიშვნელოვანი ზრდა
მაღალი აბსოლუტური ენტროპია	10	ფაილს თითქმის მაქსიმალური ენტროპია აქვს
გამოსასყიდ-ჩანაწერის შექმნა	35	გამოსასყიდ-ჩანაწერის შაბლონებთან შემჯამებელი ფაილები გამოვლინდა
Shadow copy-ის წაშლა	50	volume shadow copy-ების წაშლის მცდელობა

60-ზე მაღალი კომბინირებული ქულა MALICIOUS განაჩენს ააქტიურებს. 30-59 ქულები SUSPICIOUS alert-ს წარმოქმნის.

გამოსასყიდ-ჩანაწერის გამოვლენა

დეტექტორი გამოსასყიდ-ჩანაწერის გავრცელებულ შაბლონებთან შემჯამებელი ფაილების შექმნას ადევნებს:

README_RESTORE_FILES.txt, HOW_TO_DECRYPT.txt,
DECRYPT_INSTRUCTIONS.html, YOUR_FILES_ARE_ENCRYPTED.txt,
RECOVER_YOUR_FILES.txt, !README!.txt, _readme.txt,
HELP_DECRYPT.html, RANSOM_NOTE.txt, #DECRYPT#.txt

TIP

გამოსასყიდ-ჩანაწერის გამოვლენა შაბლონ-ზე დაფუძნებულია და ჩანაწერ-ფაილის თავად მავნეობას არ საჭიროებს. ამ შაბლონებთან შემჯამებელი ფაილის უბრალო შექმნა, სხვა სიგნალებთან კომბინაციაში, გამოსასყიდ-ქულაში ჩაითვლება.

ავტომატური პასუხი

გამოსასყიდ-გამოვლენისას პასუხი კონფიგურირებული პოლიტიკაზეა დამოკიდებული:

მოქმედება	აღწერა
Alert	მოვლენის ჟურნალირება და შეტყობინებების გაგზავნა (webhook, email)
Block	ფაილ-ოპერაციის უარყოფა (მხოლოდ Linux fanotify blocking რეჟიმი)
Kill	დამნაშავე პროცესის შეწყვეტა
Quarantine	დაზარალებული ფაილების დაშიფრულ კარანტინის ვოლტში გადატანა
Isolate	მანქანის ყველა ქსელ-წვდომის ბლოკვა (საგანგებო)

config.toml-ში პასუხის კონფიგურაცია:

[ransomware.response]
on_detection = "kill"           # alert | block | kill | quarantine | isolate
quarantine_affected = true      # quarantine modified files as evidence
notify_webhook = true           # send webhook notification
notify_email = true             # send email alert
snapshot_process_tree = true    # capture process tree for forensics

კონფიგურაცია

გამოსასყიდ-დეტექტორის სრული კონფიგურაცია:

[ransomware]
enabled = true
batch_threshold = 20
batch_window_secs = 10
min_files_affected = 5
entropy_threshold = 7.8
entropy_delta_threshold = 3.0
score_threshold_malicious = 60
score_threshold_suspicious = 30

# Directories to protect with higher sensitivity
protected_dirs = [
    "~/Documents",
    "~/Pictures",
    "~/Desktop",
    "/var/www",
]

# Processes exempt from monitoring (e.g., backup software)
exempt_processes = [
    "borgbackup",
    "restic",
    "rsync",
]

[ransomware.response]
on_detection = "kill"
quarantine_affected = true
notify_webhook = true
notify_email = false

მაგალითები

# გამოსასყიდ-დაცვით მონიტორინგის გაშვება
sd monitor --auto-quarantine /home

# გამოსასყიდ-დეტექტორი ნაგულისხმევად daemon რეჟიმში ჩართულია
sd daemon start

# გამოსასყიდ-დეტექტორის სტატუსის შემოწმება
sd status --verbose

შემდეგი ნაბიჯები

• ფაილ-მონიტორინგი -- რეალურ დროში მონიტორინგის კონფიგურაცია
• დემონი -- ფონური სერვისად გაშვება
• საფრთხეზე რეაგირება -- remediation პოლიტიკის სრული კონფიგურაცია
• Webhook Alert-ები -- მყისიერი შეტყობინებების მიღება