A guy who hacks Macs in his free time thinks he's found a way to stop ransomware in its tracks

21.04.2016 17:27

Sophos Naked Security

If you don't believe by now that ransomware is becoming a big problem, just ask Texas Congressman Michael C. Burgess who, at a congressional hearing on Tuesday, said that ransom-seeking hackers ought to be "shot at sunrise."

Burgess has good reason to be frustrated. Ransomware is a type of computer virus that encrypts its victim's files and demands payment, usually a few hundred dollars in Bitcoin, for the key to restore them.

Ransomware with properly-implemented encryption is effectively irreversible without those keys, forcing high-profile victims, including government agencies, to pay up in order to restore their systems.

Macs had been largely ignored by ransomware authors until last month, when a large-scale Mac ransomware attack called KeRanger struck. The virus was inserted into a compromised version of Transmission, a file-sharing app available for Macs, and maliciously uploaded onto the software's official website so that unsuspecting users would download and run it on their machines.

Patrick Wardle, the director of research at Synack who also publishes Mac software tools to his website, Objective See, realized that Macs still had no good way of avoiding this kind of attack.

"From a user's point of view, it really sucks," Wardle said in an interview with Business Insider on Wednesday. "Even if they're [following] best security practices — they haven't turned off Gatekeeper [Apple's anti-virus software], they're not downloading shady apps from random sites — they still would have gotten infected."

Wardle said that he could see this type of infection happening to him and wanted to do something about it. While Apple soon updated its built-in virus protection and Transmission removed the infected downloads from its site, Wardle was confident that the problem wasn't going anywhere.

"There's so much money to be made for hackers," he said. "This is just going to be an ongoing process for the foreseeable future, even for Mac users."

So Wardle got to work on a tool to detect — and stop — ransomware generically, meaning that it wouldn't have to rely on a list of previously-known viruses which can quickly become outdated. The goal is to detect ransomware by looking for suspicious encryption activity instead. After about a month of working on the project in his spare time, he released RansomWhere? 1.0.0 on Wednesday.

Sophos Naked SecurityRansomWhere? runs in the background, watching for the creation of new files by any new or untrusted applications. It then assesses whether the file was encrypted (in a process outlined in Wardle's explanatory blog post) and whether the process that made it also looks to be encrypting other files. If all these boxes are checked, it pauses the suspicious process and alerts the user, letting them decide whether to allow it to continue or stop it in its tracks.

While Business Insider was not able to test RansomWhere? against a real virus (all of our Macs have the latest security updates, so we wouldn't be able to run a virus at all), Wardle claims that, in his testing, the app successfully blocked both of the existing ransomware viruses that he had access to.

Wardle is quick to point out that the ideas behind RansomWhere? might not be entirely novel. Indeed, the idea of detecting malware by its behavior rather than by its appearance (comparing a file to known virus signatures) is not brand new — some antivirus companies have already implemented versions of this "heuristic analysis" into their efforts to fight ransomware.

'I would love to find some new ransomware'

Apple's built-in defenses are often not so sophisticated, as Wardle has noted in the past. While Apple quickly revoked the signature of the infected version of Transmission, preventing most users from infecting themselves with KeRanger, an estimated 6,500 users may have downloaded the compromised app.

Wardle suggests using RansomWhere? alongside signature-based systems for the fullest protection and he dedicates a large portion of his blog post to detailing limitations and downsides to his software — like the fact that, by design, a few files will be encrypted before RansomWhere? can decide that a process is malicious.

Ransomware authors that study Wardle's app could even custom-tailor their viruses to slip between the cracks that he openly discloses.

Needless to say, Wardle stressed that he didn't want to "over-sell" the tool as a panacea. In his blog post, he writes that his goal was "simply to raise awareness about alternate means to help stymie the ransomware epidemic."

For the time being, if a Mac user is unlucky enough to be struck by ransomware — but had the foresight to install RansomWhere? — Wardle recommends they upload the suspicious file to VirusTotal, a free online tool that aims to identify viruses. Better yet, send them his way.

"I would love to find some new [Mac OS X] ransomware," Wardle said. "I say that as a Mac security researcher, not someone who's wishing harm on Mac users."

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Life24.pro

Исторические фантазии и реалии. Часть 5

Желдорреммаш подводит итоги работы за первое полугодие 2025 года

Жена Дмитрия Диброва Полина опубликовала первое фото с похудевшим на 20 кг мужем

Только смелым покоряются моря

Today24.pro

Today in History: July 28, US Army airplane crashes into Empire State Building

Kolo Muani: Juventus prepare new offer but face Man United and Chelsea threat

Weah’s agent: One Juventus director ‘is creating problems’

Dear Abby: Our son was clean and fit until Emily came along

News24.pro

В Орловской области в реке утонула женщина

Александр Михайлов (GSOC): «Безопасность IT-экосистемы — это зона нулевого доверия к подрядчикам»

Под Орлом автомобиль врезался в земляной вал: водитель в больнице

Анекдоты недели и украденное лето

Game24.pro

Fretless — The Wrath of Riffson — музыка спасёт мир. Рецензия

Five Nights at Freddy's 2 movie gets its first full trailer for Comic-Con, promising even more animatronic terror

Bloody fighting game Invincible VS gets its most brutal character yet in Comic-Con trailer

Quarantine Zone creator reveals 3 reasons the zombie sim went viral on TikTok

Russia24.pro

Приключения в Дагестане: Comedy Radio рекомендует «Атель-Матель»

Слушатели ENERGY отправятся на «Пикник Афиши» в Петербурге

Только смелым покоряются моря

Сотрудница подразделения столичного главка Росгвардии завоевала «золото» на чемпионате войск по легкоатлетическому кроссу

Другие проекты от SMI24.net

News-life

Зоя Панкратова: «Шеф в деле» – это про нас

От «Лебединого озера» до «Дон Кихота»: Relax FM приглашает на балет

КП: жена телеведущего Дмитрия Диброва Полина ушла от него к другому мужчине

Мэр Кисловодска Моисеев: под завалами грунта в санатории может быть человек

Ru24.net

Закат эпохи: зима постсоветского Закавказья

Провокация НАТО против Калининграда: Тайный план раскрыт. С чего всё начнётся, рассказал Нимайер

Дефицит осадков: когда в Москве закончится жара и какой будет погода в августе

Внебиржевой курс доллара подскочил выше 82 рублей

News.tennis

Радукану вспомнила, как предложила Рыбакиной выступить в парном разряде

«Легли поздно». Медведев — о походе на концерт The Weeknd с Рублёвым и Хачановым

«Краснодар» — «Локо», UFC и матч Калинской: что посмотреть сегодня

Теннисистка Калинская после победы в США дала послематчевое интервью с собакой

29ru.net

Мощнейшая хакерская атака на «Аэрофлот» привела к задержке и отмене десятков рейсов, включая Красноярск

От одной компании к другой: Испания сохранит за собой мексиканские активы Ibedrola?

Москва живописная

Пострадавшую от медведя на Камчатке туристку отправили на лечение в Москву

Музыкальные новости

Poisk-music.ru

Певец Шаляпин ответил на обвинения в альфонстве и жизни за чужой счёт

Менеджер Песни. Менеджер Релиза Песни. Менеджер вышедшей песни.

Отрыв с Элджеем, тост за бывшего и ковбойские девчонки. Репортаж с Viva Braslav 2025

Песков: Высоцкий является феноменальной частью российской культуры

Ria.city

Благотворительная акция ко Всемирному Дню офтальмологии от детских глазных клиник «Ясный Взор»

Приключения в Дагестане: Comedy Radio рекомендует «Атель-Матель»

Только смелым покоряются моря

Слушатели ENERGY отправятся на «Пикник Афиши» в Петербурге

Rss.plus

Росгвардейцы Чувашии – победители регионального чемпионата общества «Динамо» по мини-футболу

Матвиенко указала на возможности для сотрудничества у Кубы при статусе партнера БРИКС

Остался только страх. Пашинян хочет ударить по Москве, но "удавка" сдерживает

Россияне стали вторыми в синхронных прыжках с десятиметровой вышки на ЧМ

Auto.russia24.pro

Сотрудники ОМОН Росгвардии помогли пострадавшему в ДТП на МКАД

ДТП с участием трех автомобилей произошло на внутренней стороне 104 километра МКАД

Сотрудники ОМОН Росгвардии помогли пострадавшему в ДТП на МКАД

Культовый BAW 212 уже в России

Putin.russia24.pro

"Ъ": Москва облегчила жизнь молдаванам в России

Путин: рост Сбербанка обеспечивает стабильность банковской системы.

Путин сделал шутку о системе "Оплата с помощью улыбки".

Благотворительная акция ко Всемирному Дню офтальмологии от детских глазных клиник «Ясный Взор»

Обрушение в санатории "Москва" в Кисловодске: пострадали двое отдыхающих

Врач-косметолог Мадина Осман: что такое липофилинг и кому он может быть показан

Мэр Кисловодска Моисеев: под завалами грунта в санатории может быть человек

Zelensky.russia24.pro

Чтобы убрать Зеленского, США достаточно показать ему одну папку: вот почему Киев упал в ноги Трампу

Sport.russia24.pro

Легкоатлеты из Мордовии показали лучшие результаты мирового сезона на международных соревнованиях в Москве

«Краснодар» и московское «Динамо» проведут сегодня первые матчи в Кубке России

Сотрудница подразделения столичного главка Росгвардии завоевала «золото» на чемпионате войск по легкоатлетическому кроссу

В День парашютиста героем рубрики «Знай наших» стал сотрудник вневедомственной охраны столичного главка Росгвардии младший лейтенант полиции Александр С.

Lukashenko.russia24.pro

В Минске готовы активизировать сотрудничество с Эфиопией

Лукашенко взял на контроль ситуацию с уничтожением БПЛА над Минском

Person.russian.city

Собянин рассказал, как строят станцию «Достоевская» Кольцевой линии метро

Собянин: Участие москвичей в жизни города — ключ ко всем позитивным изменениям

Собянин рассказал о тестировании уникальной ИИ-системы для диагностики инсульта

Станция "Достоевская" Кольцевой линии метро готова на четверть - Собянин

Ecology.russia24.pro

В Бузулукском бору в эти дни работает смена проекта «Заповедное дело РГО»

Кнайсль положительно оценила природоохранные меры в России.

Число пострадавших от непогоды автомобилей растет

В Ростокине расскажут о млекопитающих Москвы

29ru.net

Мощнейшая хакерская атака на «Аэрофлот» привела к задержке и отмене десятков рейсов, включая Красноярск

Российско-китайская ярмарка культуры и искусства открылась в Хэйхэ

Пятая отсрочка. США отложили введение санкций против сербской NIS на месяц

Александр Дудинов проинспектировал ход ремонта Красноярского сельского Дома культуры

Severodvinsk.ws

В Архангельске представили киноальманах «Север, я люблю тебя!» по произведениям современных писателей

В Архангельске с 29 июля перекрывается движение по участку набережной Северной Двины

Туманное утро в Турчасово...

Не чайные клиперы

Sevpoisk.ru

К парню с костылем подошли трое с требованием уступить. Он был готов, но заступилась бабушка по соседству

Сколько пассажиров прибывают в Крым летом на поездах ежедневно

В Крыму из-за дыма от пожара столкнулись девять автомобилей

В Севастополе пройдет масштабная выставка картин Александра Дейнеки

103news.com

Два иркутских бара включены в шорт-лист лучших баров России

Временного поверенного Норвегии вызвали в МИД России

Тело есть, дела нет: следователи не нашли следов преступления в гибели 18-летнего студента на пляже в Алуште

В работе аптек произошел масштабный сбой

Агрегатор новостей 24СМИ

'I would love to find some new ransomware'

Исторические фантазии и реалии. Часть 5

Желдорреммаш подводит итоги работы за первое полугодие 2025 года

Жена Дмитрия Диброва Полина опубликовала первое фото с похудевшим на 20 кг мужем

Только смелым покоряются моря

Today in History: July 28, US Army airplane crashes into Empire State Building

Kolo Muani: Juventus prepare new offer but face Man United and Chelsea threat

Weah’s agent: One Juventus director ‘is creating problems’

Dear Abby: Our son was clean and fit until Emily came along

В Орловской области в реке утонула женщина

Александр Михайлов (GSOC): «Безопасность IT-экосистемы — это зона нулевого доверия к подрядчикам»

Под Орлом автомобиль врезался в земляной вал: водитель в больнице

Анекдоты недели и украденное лето

Fretless — The Wrath of Riffson — музыка спасёт мир. Рецензия

Five Nights at Freddy's 2 movie gets its first full trailer for Comic-Con, promising even more animatronic terror

Bloody fighting game Invincible VS gets its most brutal character yet in Comic-Con trailer

Quarantine Zone creator reveals 3 reasons the zombie sim went viral on TikTok

Приключения в Дагестане: Comedy Radio рекомендует «Атель-Матель»

Слушатели ENERGY отправятся на «Пикник Афиши» в Петербурге

Только смелым покоряются моря

Сотрудница подразделения столичного главка Росгвардии завоевала «золото» на чемпионате войск по легкоатлетическому кроссу

Зоя Панкратова: «Шеф в деле» – это про нас

От «Лебединого озера» до «Дон Кихота»: Relax FM приглашает на балет

КП: жена телеведущего Дмитрия Диброва Полина ушла от него к другому мужчине

Мэр Кисловодска Моисеев: под завалами грунта в санатории может быть человек

Закат эпохи: зима постсоветского Закавказья

Провокация НАТО против Калининграда: Тайный план раскрыт. С чего всё начнётся, рассказал Нимайер

Дефицит осадков: когда в Москве закончится жара и какой будет погода в августе

Внебиржевой курс доллара подскочил выше 82 рублей

Радукану вспомнила, как предложила Рыбакиной выступить в парном разряде

«Легли поздно». Медведев — о походе на концерт The Weeknd с Рублёвым и Хачановым

«Краснодар» — «Локо», UFC и матч Калинской: что посмотреть сегодня

Теннисистка Калинская после победы в США дала послематчевое интервью с собакой

Мощнейшая хакерская атака на «Аэрофлот» привела к задержке и отмене десятков рейсов, включая Красноярск

От одной компании к другой: Испания сохранит за собой мексиканские активы Ibedrola?

Москва живописная

Пострадавшую от медведя на Камчатке туристку отправили на лечение в Москву

Певец Шаляпин ответил на обвинения в альфонстве и жизни за чужой счёт

Менеджер Песни. Менеджер Релиза Песни. Менеджер вышедшей песни.

Отрыв с Элджеем, тост за бывшего и ковбойские девчонки. Репортаж с Viva Braslav 2025

Песков: Высоцкий является феноменальной частью российской культуры

Благотворительная акция ко Всемирному Дню офтальмологии от детских глазных клиник «Ясный Взор»

Приключения в Дагестане: Comedy Radio рекомендует «Атель-Матель»

Только смелым покоряются моря

Слушатели ENERGY отправятся на «Пикник Афиши» в Петербурге

Росгвардейцы Чувашии – победители регионального чемпионата общества «Динамо» по мини-футболу

Матвиенко указала на возможности для сотрудничества у Кубы при статусе партнера БРИКС

Остался только страх. Пашинян хочет ударить по Москве, но "удавка" сдерживает

Россияне стали вторыми в синхронных прыжках с десятиметровой вышки на ЧМ

Сотрудники ОМОН Росгвардии помогли пострадавшему в ДТП на МКАД

ДТП с участием трех автомобилей произошло на внутренней стороне 104 километра МКАД

Сотрудники ОМОН Росгвардии помогли пострадавшему в ДТП на МКАД

Культовый BAW 212 уже в России

"Ъ": Москва облегчила жизнь молдаванам в России

Путин: рост Сбербанка обеспечивает стабильность банковской системы.

Путин сделал шутку о системе "Оплата с помощью улыбки".

Греф представил Путину отчет о деятельности Сбербанка.

Новый штамм COVID-19 переносится как легкая форма ОРВИ

Депутата ЗакСа Ленобласти Ивана Апостолевского задержали за пост с Навальным*

Благотворительная акция ко Всемирному Дню офтальмологии от детских глазных клиник «Ясный Взор»

Обрушение в санатории "Москва" в Кисловодске: пострадали двое отдыхающих

Врач-косметолог Мадина Осман: что такое липофилинг и кому он может быть показан

Мэр Кисловодска Моисеев: под завалами грунта в санатории может быть человек

Чтобы убрать Зеленского, США достаточно показать ему одну папку: вот почему Киев упал в ноги Трампу

Легкоатлеты из Мордовии показали лучшие результаты мирового сезона на международных соревнованиях в Москве

«Краснодар» и московское «Динамо» проведут сегодня первые матчи в Кубке России

Сотрудница подразделения столичного главка Росгвардии завоевала «золото» на чемпионате войск по легкоатлетическому кроссу

В День парашютиста героем рубрики «Знай наших» стал сотрудник вневедомственной охраны столичного главка Росгвардии младший лейтенант полиции Александр С.

В Минске готовы активизировать сотрудничество с Эфиопией

Лукашенко взял на контроль ситуацию с уничтожением БПЛА над Минском

Собянин рассказал, как строят станцию «Достоевская» Кольцевой линии метро

Собянин: Участие москвичей в жизни города — ключ ко всем позитивным изменениям

Собянин рассказал о тестировании уникальной ИИ-системы для диагностики инсульта

Станция "Достоевская" Кольцевой линии метро готова на четверть - Собянин

В Бузулукском бору в эти дни работает смена проекта «Заповедное дело РГО»

Кнайсль положительно оценила природоохранные меры в России.

Число пострадавших от непогоды автомобилей растет

В Ростокине расскажут о млекопитающих Москвы

Мощнейшая хакерская атака на «Аэрофлот» привела к задержке и отмене десятков рейсов, включая Красноярск

Российско-китайская ярмарка культуры и искусства открылась в Хэйхэ