Nakon objave u aprilu 2016., ID Ransomware polako ali sigurno postaje podrazumevana destinacija za korisnike koji traže rešenje problema sa ransomware-om. Ukoliko do sada niste čuli za njega, ID Ransomware (ili skraćeno IDR) omogućava korisnicima da pošalju svoje ransomware poruke i uzorke kriptovanih fajlova na portal specijalizovan za raspoznavanje familije i tačne verzije ovog malvera.
Nakon što portal primi podatke, pokušaće da utvrdi vrstu ransomware-a na osnovu teksta, bitcoin adresa i adrese el. pošte iz poruke kao i niza drugih identifikatora. Za kratko vreme IDR je postao izuzetno koristan alat i do sada je, po rečima njegovog autora Majkla Gilespija (Michael Gillespie), primio oko 160.000 prijava sa preko 80.000 jedinstvenih IP adresa.
Gilespi kaže da IDR najčešće detektuje Locky, Crypt0L0cker, CryptXXX i Cerber. CrySiS, čija enkripcija od nedavno može da se otključa, takođe je u vrhu liste.
ID Ransomware detektuje 238 različitih ransomware infekcija
Do sredine oktobra IDR je detektovao 200 različitih ransomware infekcija, a u međuvremenu još 38 novih. Kada je projekat pokrenut, bilo ih je svega 50-ak što govori o zalaganju autora i ostalih istraživača, ali i o velikom broju ransomware familija nastalih samo u 2016. godini.
Bez podrške velikih kompanija koje održavaju sličan portal pod imenom NoMoreRansom, IDR je nastavio da evoluira i raste. U razgovoru sa ekipom portala Bleeping Computer, Gilespi je otkrio nekoliko detalja o tome kako mu je to pošlo za rukom.
“Nakon objave alata sukcesivno sam dodavao nove metode detekcije koje proveravaju poruke, adrese el. pošte, Bitcoin adrese, BitMessage adrese, pa čak u nekim slučajevima i Tor linkove”, kaže Gilespi. “Ubacio sam i nekoliko integracija koje aktivno sarađuju sa komunikacionom platformom našeg tima, Virustotal-om, gde kroz sandbox provlačimo izvršne uzorke kada ih korisnici pošalju. Uključeno je i niz poboljšanja poput API-ja za bezbedniji pristup i alata za lakšu analizu prispelih uzoraka.” Sve ove integracije pomažu da IDR efikasnije detektuje ransomware i korisnicima preda tačne rezultate…
Nastavak intervjua sa autorom ID Ransomware-a možete pronaći na Bleeping Computer portalu.
