Detection of crypto-ransomware based on static and dynamic analysis using machine learning methods

Abstract

Последние несколько лет все большее внимание злоумышленников привлекает относительно новый класс вредоносного программного обеспечения – вымогатели-шифровальщики. Будучи запущенной на компьютере жертвы, программа шифрует файлы пользователя, а за восстановление доступа к ним вымогатели требуют выкуп. Все чаще целью атак злоумышленников становятся крупные организации. Сами вымогатели при этом стали использовать тактику двойного выкупа, требуя деньги как за расшифровку файлов, так и за удаление украденных злоумышленниками данных с целью не допустить публикацию конфиденциальных сведений. К решению проблемы подключились многие компании, работающие в сфере обеспечения информационной безопасности. Во многих современных антивирусных решениях можно обнаружить защиту от вымогательского ПО. Однако не стоят на месте и злоумышленники, использующие различные техники для маскировки вредоносной активности. Таким образом, актуальной стала задача обнаружения данного класса вредоносного ПО.

Over the past few years, a relatively new class of malicious software - crypto-ransomware - has attracted more and more attention of adversaries. When running on the victim's computer, the program encrypts the user's files and demands a ransom for restoring access to them. Increasingly, large organizations are becoming the target of malicious attacks. At the same time, the attackers themselves began to use the tactics of double ransom, demanding money both for decrypting files and for deleting data stolen by attackers in order to prevent the publication of confidential information. Many information security companies have joined in solving the problem. In many modern antivirus solutions, you can find protection against ransomware. However, attackers use various techniques to hide malicious activity and often update their TTPs (tactics, techniques and procedures). Thus, the task of detecting this class of malware has become urgent.