文件加密型勒索軟件程序已經(jīng)成為全球公司網(wǎng)絡(luò)最大威脅之一，且一直在通過增加更為復(fù)雜的檢測規(guī)避技術(shù)和擴散技術(shù)而不斷進化。

如今，任何一個“良心”惡意軟件作者都會確保自己的作品能在釋放前躲過反病毒檢測。這種情況下，企業(yè)安全團隊不得不放棄試圖將惡意軟件全都擋在門外這種注定會輸?shù)淖龇ǎD(zhuǎn)而將精力投放到了改善響應(yīng)時間上。

Exabeam，用戶和實體行為分析提供商，采用機器學(xué)習(xí)、行為分析來幫助公司企業(yè)管控勒索軟件感染。Exabeam認(rèn)為機器學(xué)習(xí)算法能夠大幅改善勒索軟件檢測和反應(yīng)時間，防止此類程序在網(wǎng)絡(luò)內(nèi)擴散并影響到更多的系統(tǒng)。

由于勒索軟件作者的解密價格是按系統(tǒng)計算的，盡快隔離受影響計算機便十分關(guān)鍵了。僅上周，卡爾加里大學(xué)便宣稱花費了2萬加幣(約合1.56萬美元)，才從勒索軟件作者那里討來解密多個系統(tǒng)的密鑰。

Exabeam的勒索軟件分析，是一款6月13號才公諸于世的新產(chǎn)品，采用了該公司現(xiàn)有的行為分析技術(shù)，在勒索軟件感染發(fā)生之后極短時間內(nèi)檢測出來。

該產(chǎn)品使用客戶公司現(xiàn)有日志數(shù)據(jù)來為計算機和用戶建立行為模式。這使得該產(chǎn)品可以通過分析文件和員工文檔行為異常，在沒有預(yù)存檢測簽名的情況下檢測出未知勒索軟件。

為避免誤報，該技術(shù)只有在多項指佂此類威脅的可疑活動的綜合風(fēng)險得分超過某個閾值的情況下，才會將事件標(biāo)記為勒索軟件。

Exabeam的安全研究團隊正在實驗室?guī)椭?xùn)練該款產(chǎn)品。通過在測試計算機上運行大量勒索軟件樣本，再讓該產(chǎn)品觀察樣本行為，便可以建立起威脅模型。

該產(chǎn)品本身沒有封禁功能，是為公司企業(yè)的安全分析師能夠快速發(fā)現(xiàn)并響應(yīng)安全事件而打造的。它可作為插件，集成到公司企業(yè)中已能檢測公司內(nèi)部安全策略違規(guī)行為的分析平臺上。

盡管沒有沒有內(nèi)置的威脅中和功能，該平臺可與其他安全工具集成，讓分析師可以創(chuàng)建管理腳本，在檢測到事件時自動執(zhí)行相關(guān)處理過程——例如，將受感染計算機立即與網(wǎng)絡(luò)中其他部分隔離。

勒索軟件通常通過路過式下載攻擊和釣魚郵件擴散，這意味著，取決于用戶行為，計算機是一個接一個受影響的。然而，在企業(yè)環(huán)境中，勒索軟件可通過影響文檔共享服務(wù)器上的文件和其他協(xié)作服務(wù)，很容易地大范圍傳播。

最近，某些勒索軟件甚至獲得了類似蠕蟲的自我擴散能力。其中一個名為ZCrypt，能復(fù)制自身到外部U盤上，通過流氓自動播放文件autorun.inf運行。

通過在實驗環(huán)境運行大量勒索軟件樣本，Exabeam的研究人員還發(fā)現(xiàn)了一些有趣的趨勢：比如，勒索軟件近期價格上漲。

2到3個月前，大多數(shù)勒索價格在0.4到1比特幣之間。上個月，情況變了，如今勒索價格已經(jīng)上漲到了2到5比特幣。

這有可能是因為勒索軟件作者如今專注于勒索公司企業(yè)，而公司比個人用戶更愿意也能夠支付更多金錢來恢復(fù)關(guān)鍵業(yè)務(wù)文件。

另一個有趣的現(xiàn)象是，所有新的勒索軟件安裝程序，有效期都只在一天之內(nèi)。

這意味著，勒索軟件活動每天都在改變，就好像它們的作者工作在開發(fā)運維(DevOps)模式一樣，每天都在向投送合作伙伴發(fā)布新的代碼。