PayPal获得勒索软件检测技术专利

PayPal工程师开发了一种检测和阻止勒索软件攻击的新方法。年轻的亚洲男性沮丧，困惑和头痛勒索软件攻击桌面屏幕，笔记本和智能手机，网络攻击和互联网安全概念美国专利商标局本周授予在线支付公司PayPal专利，用于检测和阻止勒索软件攻击。在线安全101：如何保护您的隐私免受黑客，间谍和政府的侵害伊朗网络间谍工具的源代码泄露给TelegramMicrosoft失去对Windows Tiles子域的控制权失败的学生因丝绸之路被判入狱，黑暗的网络毒品暴利

根据4月16日发布的美国专利号10262138，PayPal认为它可以检测到勒索软件感染的早期阶段，并采取以下两种行动之一 - 停止加密过程，或者将未受污染的原始文件的副本保存到远程服务器在加密之前作为备份，因此可以在以后恢复。

PAYPAL如何检测勒索软件

专利的核心是PayPal声称可以检测到勒索软件感染发生的技术。

PayPal说它的系统将监视何时在计算机的内存缓存系统中加载本地文件，当应用程序需要执行操作时，所有文件都被加载到该位置。

PayPal的系统将查找特定的操作模式 - 当文件重复时，对副本执行高熵(加密)操作。

这是许多勒索软件使用的常用技术，它加密原始文件的副本，然后永久删除原始文件，发送加密副本以便存储在磁盘上，以替换合法文件。

PayPal的解决方案是检测此模式并引入允许执行此类操作的应用程序白名单。

如果执行这些操作的应用程序进程不在白名单中，则PayPal的系统将停止该进程，和/或将原始文件的副本发送到远程云服务以进行备份存储。

过去开发的其他勒索软件检测系统

与其他勒索软件检测系统相比，该概念是独一无二的。

例如，在2016年初，一位名叫Sean Williams的美国开发人员为Linux系统创建了勒索软件检测系统Cryptostalker，它监控文件系统中新写入的文件，如果文件是高速创建的，它们包含随机数据(加密内容)，Cryptostalker将停止文件写入过程并提醒系统所有者。

同样，在2016年12月，网络安全公司Cyber​​eason发布了现已解散的RansomFree应用程序，该应用程序使用包含特殊字符的文件夹名称检测勒索软件感染的发生，确保勒索软件首先加密存储在这些目录中的文件。RansomFree通过监视这些文件夹中的文件进行更改，检测进行更改的进程并停止更改。

另一个勒索软件检测系统包含在2017年10月发布的Windows 10 v1709中，增加了受控文件夹访问功能，自Windows 10 v1803起更名为Ransomware Protection。

微软的勒索软件检测系统允许Windows 10通过创建可以对用户选择的文件夹中的文件进行更改的已批准应用程序的白名单来检测勒索软件。尽管效率很高，但系统并没有被广泛使用，因为它需要大量的手动设置，包括将用户安装在他的计算机上的每个良性应用程序列入白名单，然后选择文件夹以接收勒索软件保护。

但在一般情况下，这些系统中没有一个能够在多年来产生实际影响。尽管勒索软件攻击到目前为止还有五十多年的历史，但没有可靠的勒索软件预防系统，勒索软件在用户计算机或企业内部网络上部署时仍然无法运行。

PayPal的系统在纸面上看起来很稳固，但它仍然需要通过现场测试才能在商业上可行。

该专利的作者是Cyber​​SecuritySchlomi Boutnaru的前PayPal首席技术，现为云安全公司Rezilion的首席技术官。