RADAR : a ransomware detection and remediation system

Ransomware is a class of malware that blackmails users by encrypting their files on computers and asking for a ransom to release the decryption key(s). Since the appearance of the first modern ransomware sample in 2006, ransomware have become quite sophisticated. In the United States alone, almost 13.1 million people got infected by ransomware and more than 50% of them have actually paid the extortionist. It has been estimated that, only in 2015, ransomware caused $350 million in damage. This proves that actual detection based on signature techniques are not effective against the ransomware threat and that ransomware is a lucrative business that keeps attracting new cybercriminals, as also shown by the increasing number of samples and families. In this work we propose RADAR, a system able to detect ransomware activity by monitoring processes, and to recover any affected file.

Da alcuni anni, una nuova forma di malware tiene sotto scacco i dati degli utenti: si tratta dei ransomware, una categoria di virus che cifra i dati delle vittime, rendendoli in tal modo inaccessibili e rilasciandoli solo una volta che queste ultime hanno pagato il riscatto. I primi attacchi degni di nota risalgono al 2006, e da quel momento la complessità degli attacchi è aumentata notevolmente. Negli ultimi anni, inoltre, gli estorsori hanno iniziato a sfruttare tecnologie emergenti come Tor e le cosiddette cryptovalute per ottenere il riscatto e rimanere, allo stesso tempo, virtualmente irrintracciabili. I danni procurati da questo tipo di virus sono ingenti, e si stima che solo negli Stati Uniti i cybercriminali dietro ai ransomware siano riusciti ad estorcere circa 2 miliardi di dollari. Le classiche tecnologie di rilevamento basate sulle signatures non si stanno rivelando efficaci contro questa minaccia, in quanto devono essere costantemente aggiornate. Inoltre, ad aggravare la situazione, negli underground market vengono venduti diversi kit che consentono a chiunque di creare il proprio ransomware, aumentando così il numero di sample che vengono rilasciati ogni giorno. Attualmente, si può far fronte ad un attacco ransomware solo se si hanno a disposizione delle copie di backup. Anche in questo caso, però, a volte non è possibile recuperare la versione più aggiornata di ogni file, in quanto i backup vengono solitamente effettuati su base giornaliera, e, in alcuni casi, anche la perdita di poche ore di lavoro può comunque causare danni ingenti e/o grosse perdite economiche. I ransomware hanno come obiettivo quello di cifrare quanti più file possibili, in modo da incrementare le probabilità che l’utente paghi il riscatto. Proprio per questo motivo, i ransomware si comportano in maniera notevolmente differente dai programmi legittimi. Nel nostro lavoro proponiamo quindi RADAR, un sistema in grado di rilevare un ransomware e di recuperarne i file originali.