A guy who hacks Macs in his free time thinks he's found a way to stop ransomware in its tracks

21.04.2016 17:27

keranger mac ransomware Sophos Naked Security

If you don't believe by now that ransomware is becoming a big problem, just ask Texas Congressman Michael C. Burgess who, at a congressional hearing on Tuesday, said that ransom-seeking hackers ought to be "shot at sunrise."

Burgess has good reason to be frustrated. Ransomware is a type of computer virus that encrypts its victim's files and demands payment, usually a few hundred dollars in Bitcoin, for the key to restore them.

Ransomware with properly-implemented encryption is effectively irreversible without those keys, forcing high-profile victims, including government agencies, to pay up in order to restore their systems.

Macs had been largely ignored by ransomware authors until last month, when a large-scale Mac ransomware attack called KeRanger struck. The virus was inserted into a compromised version of Transmission, a file-sharing app available for Macs, and maliciously uploaded onto the software's official website so that unsuspecting users would download and run it on their machines.

Patrick Wardle, the director of research at Synack who also publishes Mac software tools to his website, Objective See, realized that Macs still had no good way of avoiding this kind of attack.

"From a user's point of view, it really sucks," Wardle said in an interview with Business Insider on Wednesday. "Even if they're [following] best security practices — they haven't turned off Gatekeeper [Apple's anti-virus software], they're not downloading shady apps from random sites — they still would have gotten infected."

Wardle said that he could see this type of infection happening to him and wanted to do something about it. While Apple soon updated its built-in virus protection and Transmission removed the infected downloads from its site, Wardle was confident that the problem wasn't going anywhere.

"There's so much money to be made for hackers," he said. "This is just going to be an ongoing process for the foreseeable future, even for Mac users."

So Wardle got to work on a tool to detect — and stop — ransomware generically, meaning that it wouldn't have to rely on a list of previously-known viruses which can quickly become outdated. The goal is to detect ransomware by looking for suspicious encryption activity instead. After about a month of working on the project in his spare time, he released RansomWhere? 1.0.0 on Wednesday.

Sophos Naked SecurityRansomWhere? runs in the background, watching for the creation of new files by any new or untrusted applications. It then assesses whether the file was encrypted (in a process outlined in Wardle's explanatory blog post) and whether the process that made it also looks to be encrypting other files. If all these boxes are checked, it pauses the suspicious process and alerts the user, letting them decide whether to allow it to continue or stop it in its tracks.

While Business Insider was not able to test RansomWhere? against a real virus (all of our Macs have the latest security updates, so we wouldn't be able to run a virus at all), Wardle claims that, in his testing, the app successfully blocked both of the existing ransomware viruses that he had access to.

Wardle is quick to point out that the ideas behind RansomWhere? might not be entirely novel. Indeed, the idea of detecting malware by its behavior rather than by its appearance (comparing a file to known virus signatures) is not brand new — some antivirus companies have already implemented versions of this "heuristic analysis" into their efforts to fight ransomware.

'I would love to find some new ransomware'

Apple's built-in defenses are often not so sophisticated, as Wardle has noted in the past. While Apple quickly revoked the signature of the infected version of Transmission, preventing most users from infecting themselves with KeRanger, an estimated 6,500 users may have downloaded the compromised app.

Wardle suggests using RansomWhere? alongside signature-based systems for the fullest protection and he dedicates a large portion of his blog post to detailing limitations and downsides to his software — like the fact that, by design, a few files will be encrypted before RansomWhere? can decide that a process is malicious.

Ransomware authors that study Wardle's app could even custom-tailor their viruses to slip between the cracks that he openly discloses.

Needless to say, Wardle stressed that he didn't want to "over-sell" the tool as a panacea. In his blog post, he writes that his goal was "simply to raise awareness about alternate means to help stymie the ransomware epidemic."

For the time being, if a Mac user is unlucky enough to be struck by ransomware — but had the foresight to install RansomWhere? — Wardle recommends they upload the suspicious file to VirusTotal, a free online tool that aims to identify viruses. Better yet, send them his way.

"I would love to find some new [Mac OS X] ransomware," Wardle said. "I say that as a Mac security researcher, not someone who's wishing harm on Mac users."

Moscow.media

Частные объявления сегодня

Добавить объявление

Оренбург

Медсправки в Оренбурге на 56spravochka

Москва

Частная школа в зао Образование Плюс I

Магнитогорск

Большой ассортимент металлических кроватей

Москва

Оптимальный Кредит в Банке для жителей Москвы или МО.

Rss.plus

Все новости за 24 часа

Ru24.pro

Пожар в центре Москвы локализован на площади 600 квадратных метров

Заместитель генерального директора ГПМ Радио по дистрибуции и технологиям отмечен наградой «Медиа-Менеджер России – 2024»

Куда сходить москвичам и гостям столицы 13 июля - Мытищинский форсаж: часть вторая

Совладелец «ТЕХНОНИКОЛЬ» Игорь Рыбаков запустил на Дальнем Востоке бизнес-клуб «Эквиум»

Life24.pro

«Зрителей будет ждать неслабый аттракцион»: стартовали съемки продолжения сериала «Бедные смеются, богатые плачут»

Выставка «Интерткань» представляет участников раздела «Пряжа и нити»

КАК КУПАТЬСЯ БЕЗОПАСНО?

Языковые модели на основе искусственного интеллекта, повышение производительности сотрудников и экономия ресурсов: BIA Technologies обозначила основные тренды цифровой трансформации

Today24.pro

An iconic Michael Jordan photo will be on Tyler Reddick's car as he races through Chicago

Sky Sports issue grovelling apology to Nottingham Forest after Gary Neville’s ‘Mafia gang’ outburst

Portugal vs France – Euro 2024: Ronaldo and Mbappe have one last dance in quarter-final tie – stream FREE, TV, team news

Leeloo Dolls: Your Premier Destination for Realistic Sex Dolls

News24.pro

Про чудо природы, яркое лето и макромир

Родные просторы... Старая Устьевская ГЭС на реке Вруда

Konica Minolta оказала содействие компании «ЭвоКом» при переходе на отечественный Service Desk ITSM 365

Вернувшийся из районов СВО сводный отряд спецназа Росгвардии встретили в Москве

Game24.pro

Dead Space x Battlefield 2042 crossover event looks fun, even if it isn't quite what Dead Space fans have been hoping for

Релиз Otherworld Three Kingdoms на смартфонах — новичкам дают 100 гача-круток

The internet is not a free-for-all—we shouldn't let big tech companies wish copyright out of existence

Escape From Tarkov studio Battlestate Games has put a bounty on cheaters

Russia24.pro

Тишковец рассказал о погоде в Москве на выходных

Вильфанд сообщил о прекращении опасных для здоровья "египетских ночей" в столице

«Аэрофлот» отменил семь рейсов для быстрой стабилизации расписания вылетов из Москвы

Движение поездов Павелецкого направления МЖД восстановили в обе стороны

Другие проекты от SMI24.net

News-life

Орбан назвал Путина правителем настоящей империи

Губерниев обратился к Загитовой: надо прибавлять и держать удар

Песков: Путин и Моди проведут переговоры в узком и в расширенном составах

Пожар в центре Москвы локализован на площади 600 квадратных метров

Ru24.net

Массовые отключения электричества в непогоду предотвратили в Подмосковье

Госмедиахолдинг Псковской области награждён за активное освещение выставки-форума «Россия»

Песков: Путин и Моди проведут переговоры в узком и в расширенном составах

Юбилейный фестиваль моды "Половодье" в Магнитогорске: фото

News.tennis

Энди Маррей заявил о желании стать тренером

Россиянка Шнайдер проиграла американке Наварро на Уимблдоне

Хачанов не смог выйти в третий круг Уимблдона, проиграв 220-й ракетке мира

Помощник Медведева заявил, что «дух Навального жив» и продолжает публиковать фейки о связи с «Мираторгом»

29ru.net

Песков: Путин и Моди проведут переговоры в узком и в расширенном составах

В квартире в Москве нашли мертвым 31-летнего актера Сидабраса

Госмедиахолдинг Псковской области награждён за активное освещение выставки-форума «Россия»

Для юных пассажиров. Вышла детская книга о водителях такси

Музыкальные новости

Poisk-music.ru

«Угрожал гранатой»: рейс Савичевой задержали из-за пьяного дебошира

В оборонных хищениях наступила свобода // Из семи фигурантов громкого дела отсидит только один

Помощь в организации Презентации книги для Писателей и Поэтов в Книжных магазинах и других площадках

Надежда Бабкина выступила в Печорах в рамках фестиваля-марафона «Песни России»

Ria.city

Тишковец рассказал о погоде в Москве на выходных

В Пулково задерживаются семь рейсов

В ОМ Девелопмент рассказали, как рынок отреагирует на отмену льготной ипотеки

Вильфанд сообщил о прекращении опасных для здоровья "египетских ночей" в столице

Rss.plus

Победитель Олимпиады-80 Николай Корольков умер в возрасте 77 лет

Помощь в организации Презентации книги для Писателей и Поэтов в Книжных магазинах и других площадках

Погружение на 124 метра после двух пересадок роговицы

Начальник сервисного локомотивного депо «Иваново» филиала «Северный» ООО «ЛокоТех-Сервис» Сергей Черемохин принял участие во вручении дипломов студентам Ивановского железнодорожного колледжа

Auto.russia24.pro

В Ярославской области стихия нанесла удар по Данилову

Два человека пострадали в Москве во время урагана

Пробежал, как тень: неизвестный мужчина выскочил под колёса машины на трассе М-5

В Москве во время урагана «Орхан» из-за падения деревьев пострадали два человека

Putin.russia24.pro

Моди собирается обсудить торговый дисбаланс с Путиным в Москве

Орбан анонсировал несколько таких же неожиданных встреч, как с Путиным

Во Франции назвали безумной реакцию главы Еврокомиссии на визит Орбана в Москву

«Ни Америке, ни России не нужна гонка ядерных вооружений» // Как 15 лет назад Барак Обама впервые посетил Москву

Health.russia24.pro

Врач Мескина: если у человека сильный иммунитет, то он не заболеет от сквозняка

Депутат МГД Семенников проверил ход работ по капремонту взрослой поликлиники в Северном Бутове

Вильфанд сообщил о прекращении опасных для здоровья "египетских ночей" в столице

В столице наградили лучших ветеринарных врачей

Zelensky.russia24.pro

Орбан ответил на вопрос Life.ru о реакции Зеленского на предложение о мире

Ушаков: Орбан не передавал Путину посланий от Зеленского

Кир Стармер заверил Зеленского в продолжении поддержки Великобритании

Путин и Зеленский отвергли идею Орбана о прекращении огня

Sport.russia24.pro

Шахматы и йога: что ждет посетителей «Лета в Москве. Все на улицу!» в выходные

Тренер Игнатьев не верит, что ЦСКА поборется за чемпионство в новом сезоне РПЛ

Губерниев обратился к Загитовой: надо прибавлять и держать удар

Обновленный стадион "БАМ" открыли к юбилею магистрали

Person.russian.city

Собянин объявил о запуске программы льготного кредитования для инвесторов

Собянин рассказал о реализации программы реновации в Москве

Собянин пригласил посетить форум-фестиваль «Территория будущего. Москва-2030»

Мэр Москвы вручил государственные награды врачам и медицинским сестрам

Ecology.russia24.pro

Москвичам объяснили, как связаны смерчи и массовая застройка

Депутат Михаил Мурзаков провел в Мытищах прием избирателей

В Подмосковье росгвардейцы провели тематическую встречу с детьми

Жителей и гостей Москвы предупредили о новой волне аномальной жары

29ru.net

Песков: Путин и Моди проведут переговоры в узком и в расширенном составах

Обряды, гадания и сбор целебных трав: что нужно знать о праздновании Ивана Купалы

Юбилейный фестиваль моды "Половодье" в Магнитогорске: фото

Тарасова о решении борцов не ехать на Игры: они меня не спрашивали

Severodvinsk.ws

Мимо прошла... Я о грозе ?

Терминал сбора данных (ТСД) промышленного класса SAOTRON RT42G

Жителей Поморья приглашают на «Семейный пикник»

Сергей Собянин утвердил проект нового участка Рублево-Архангельской линии метро

Sevpoisk.ru

В Крыму девушка на электросамокате рассекла лоб полуторагодовалой девочке

Выставка-настроение «Семья, согретая любовью, всегда надежна и крепка»

В Крыму родственница олигарха Иосифа Файнгольда на самокате упала на ребенка

Глава Симферополя ходит на работу в рубашке polo итальянского дизайнера

103news.com

Чествование лучших выпускников школ прошло в Дмитрове

"Сказки Орловской губернии" покажут 6 июля зрителям фестиваля "Время Т"!

Опять наступаем на те же грабли? Почему визит Канье Уэста в Москву - повод для беспокойства

Губернатор Ставрополья подписал соглашение о сотрудничестве с ВДНХ

Агрегатор новостей 24СМИ