Gần đây, các nhà nghiên cứu chắc hẳn đã mơ về việc phát triển một chương trình mạnh mẽ chống lại mã độc tống tiền. Theo sau đó, họ thậm chí đã tạo ra một số công cụ giải mã nhất định nhưng rất tiếc là chưa thực sự có thể chống lại mã hóa Ransomware. Có lẽ, điều này đang làm cho thử thách trở nên khó khăn hơn. Nói như vậy, chúng ta phải tự nhắc nhở mình rằng suy cho cùng thì sức mạnh của cái thiện sẽ chế ngự cái ác!
Gần đây, Glenn Fleishman, một cộng tác viên cấp cao tại Macworld, đã đưa ra hai ứng dụng vừa chớm nở đủ mạnh để ngăn chặn các cuộc tấn công của Ransomware trong Mac. Các ứng dụng này được đặt tên là Santa &Little Flocker. Nói một cách đơn giản, ông già Noel sẽ xác định các ứng dụng độc hại trong khi Little Flocker sẽ bảo vệ tài liệu trong Mac khỏi mọi hư hỏng. Nhưng câu hỏi lớn là chúng sẽ hoạt động như thế nào?
Công việc của ông già Noel
Chà, nó không phải là 'Ông già Noel' cho máy Mac của bạn theo nghĩa đen, nhưng đối với bạn, nó có vẻ giống ông ấy. Trong khi làm việc trên nhiều máy Mac, Google đã dự kiến phát triển một ứng dụng, ông già Noel sẽ chặn tất cả các ứng dụng trong danh sách cấm cài đặt trên máy Mac của bạn.
Cho đến nay, chỉ có một biến thể có tên là KeyRanger Ransomware vượt qua được Mac Security. Trước đó, Mac đã gỡ bỏ phiên bản Transmission bị nhiễm và sửa lỗ hổng trong phiên bản cập nhật. Nhưng giờ đây, các nhà nghiên cứu đang chuẩn bị cung cấp một ứng dụng có đầy đủ bằng chứng sẽ không cho phép bất kỳ phần mềm tống tiền nào bùng phát cuộc tấn công của nó.
Một chương trình chống phần mềm độc hại thông thường sẽ xác định và đưa phần mềm khó chịu vào danh sách đen để chạy. Nhưng chúng chỉ giới hạn trong danh sách đen những phần mềm được xác định bằng cách kiểm tra "chữ ký" của chương trình. Chữ ký là một nhóm mã phần mềm duy nhất mà phần mềm chống phần mềm độc hại được lập trình và giúp tìm ra hành vi xấu trong bất kỳ chương trình nào. Các tác giả phần mềm độc hại ngày nay rất coi trọng điều này và phát triển một số lượng lớn các biến thể để giúp bỏ qua việc kiểm tra chữ ký.
Tuy nhiên, ông già Noel (vẫn đang trong quá trình phát triển) đã đi trước một bước. Nó xác định danh sách trắng cũng như danh sách đen một cách thông minh và cuối cùng sẽ đồng bộ hóa cơ sở dữ liệu với máy chủ. Ứng dụng sẽ có hai chế độ - chế độ giám sát và khóa. Khi ở chế độ Giám sát, ông già Noel sẽ ghi lại tất cả thông tin về các ứng dụng khởi chạy trên Mac, nhưng sẽ chỉ chặn một số ứng dụng cụ thể trong danh sách đen. Nó xác định các ứng dụng độc ác dựa trên dấu vân tay của nó, đó là thuật toán của ứng dụng và chống lại mã nhị phân của ông già Noel. Khi ông già Noel đã xác định được bất kỳ ứng dụng nào như vậy, nó sẽ ngăn chúng khởi chạy. Khi ở chế độ Khóa, ứng dụng vừa chớm nở sẽ chỉ cho phép các ứng dụng trong danh sách cho phép chạy, cho dù chúng ở cấp hệ thống hay do người dùng khởi chạy. Chế độ này cũng sẽ cho phép các ứng dụng được phê duyệt bằng chữ ký của nhà phát triển được ủy quyền. Ngoài ra, chế độ Khóa sẽ cho phép bạn đưa một thư mục vào danh sách cấm để ngăn phần mềm chạy không được cài đặt trong thư mục Ứng dụng hoặc Hệ thống.
Trong số hai chế độ này, nhóm phát triển đề xuất chạy ứng dụng ở chế độ màn hình trong một thời gian và quan sát việc sử dụng ứng dụng thông thường. Sau khi biết điều đó, bạn có thể tạo danh sách các ứng dụng trong danh sách cho phép của riêng mình và chuyển sang chế độ khóa.
Little Flocker đang trên đường đến…
Chà, nếu việc Google bắt đầu chặn phần mềm kinh tởm là chưa đủ, thì bạn sẽ có Little Flocker bên mình. Ứng dụng này là kết quả công việc của nhà nghiên cứu bảo mật Jonathan Zdziarski và hiện đang trong giai đoạn thử nghiệm. Litlle Flocker là trình phân tích hành vi hệ thống mở rộng hơn và chặn các ứng dụng khó chịu. Nó kiểm tra chặt chẽ tất cả các ứng dụng và hạn chế những ứng dụng không bị ràng buộc sửa đổi hoặc xóa bất kỳ tệp nào. Littler Flocker phê duyệt quyền truy cập vào các ứng dụng trên các tập hợp con của hệ thống phân cấp thư mục thay vì tất cả các tệp do người dùng sửa đổi. Điều này về cơ bản giúp bảo vệ các ứng dụng đã biết khỏi bất kỳ hành vi cắt xén nào và ngăn các ứng dụng mới giành quyền truy cập đột ngột vào tất cả các tệp trên máy Mac mà người dùng không hề hay biết.
Hiện tại, nhiều phần mềm chống phần mềm độc hại hoạt động như một lá chắn cho máy Mac chỉ giám sát hoặc chặn hoạt động mạng không được chấp thuận, cả trong và ngoài nước. Điều này xảy ra vì nhiều chương trình phần mềm độc hại cố gắng giành quyền truy cập vào các tệp từ xa và rò rỉ cho bọn tội phạm. Tuy nhiên, Little Flocker luôn theo dõi sát sao mọi ứng dụng và không chừa chỗ cho bất kỳ lỗ hổng nào.
Cho đến nay, Apple vẫn duy trì khả năng bảo vệ an toàn cao cho máy tính của mình và do đó, người dùng của họ vẫn được an toàn đáng kể. Santa và Little Flocker sẽ được bổ sung cao cho nó, nhưng thật không may, không có ứng dụng nào như vậy được tạo cho Windows, vốn là mục tiêu chính của những kẻ lừa đảo Ransomware. Chúng tôi mong muốn Google, Zdziarski hoặc bất kỳ nhà nghiên cứu và nhà phát triển nào khác có biện pháp ngăn chặn chắc chắn Ransomware dành cho Windows và ngăn chặn hành vi xấu xa này lan rộng!