「CryptoDrop、ランサムウェアの将来の感染防止に希望」

news.softpedia.com

フロリダ大とヴィラノヴァ大の研究者が、ランサムウェアによる被害を最小化するツール「CryptoDrop」を開発しました。

ランサムウェアの本質である「既存ファイルを暗号化する」という動作に目を付けたもの。Linux用の「Cryptostalker」と同じ発想のツールです。ただしCryptoDropは最も使われているWindows用という点が違います。

開発者たちはこのツールの商用化を目指しているとのこと。

（Softpediaの記事にあるランサムウェア行動判定指標）

• 暗号化処理の急増
• ファイルの情報論的エントロピー（https://ja.wikipedia.org/wiki/%E6%83%85%E5%A0%B1%E9%87%8F）の減少の多発
• ファイルタイプ（拡張子）の変更の多発
• その他

※奈良で6月29日に行われた「分散コンピューティングシステムに関する国際会議(ICDCS2016)」で発表され、論文もあるのですが、なぜかアクセスできないのでSoftpediaの記事で代用してます。

IEICE 通信ソサイエティ：国際会議開催案内 https://www.ieice.org/cs/jpn/confe/calendar.html

理論的には実現可能っぽく見えます。今までセキュリティソフトに実装されてないのがむしろ不思議な印象。

さらに言うと、Windows自体が、シャドウボリュームの削除（一部のランサムウェアはファイルの復元を避けるために消してます）も含めた怪しい挙動を検出、自動阻止してもいいんじゃないかと思うのですが……。