Metody analýzy a detekce ransomwaru

Abstract

Cieľom tejto práce je poukázať na hrozbu škodlivého kódu a popísať jeho jednotlivé typy. Špeciálne sa zameriava na ransomvér -- jeho historický vývoj, spôsob analýzy, detekciu a zotavenie z neho. Predstavené sú aj rôzne techniky reverzného inžinierstva a pojmy s ním súvisiace ako statická a dynamická analýza alebo sandboxing. Taktiež sa pojednáva tvorba detekčných mechanizmov a klasifikácia škodlivého kódu. Firma Avast poskytla vzorky niekoľkých rodín moderného ransomvéru pre analýzu s cieľom vytvorenia detekčných YARA pravidiel a popísania chovania vzoriek. Text ukazuje proces vývoja detekčných mechanizmov na hrozbu ransomvéru a spôsob dešifrovania súborov pri rodinách ransomvéru, ktoré obsahovali chyby v kryptografii. Na konci práce sú zhrnuté výsledné dáta hovoriace o efektivite implementovaných obranných mechanizmov.

The purpose of this thesis is to demonstrate the threat of malware and to describe its forms. Special focus is put on ransomware - its historical evolution, method of analysis, detection, and recovery from it. Various techniques of reverse engineering are also introduced alongside concepts related to it, such as static and dynamic analysis or sandboxing. Paper centers around creating detection mechanisms and malware classification. Company Avast provided samples of several ransomware families for the analysis to create detection YARA rules and to describe samples' behavior. The process of development of detection mechanisms for ransomware threats is shown alongside the method to decrypt files encrypted by various ransomware families that contained cryptography errors. The end of the thesis sums up the resulting data regarding the efficiency of defense mechanisms.