RIPlace ist neu Ransomware Bypass-Technik, die vor kurzem von Sicherheitsexperten entdeckt wurde. Die Technik beruht auf nur ein paar Zeilen Code zu umgehen erfolgreich integrierte in Ransomware Schutzfunktionen, in Sicherheitslösungen und Windows 10.
Die RIPlace Technik wurde von mehreren Sicherheitsforscher von Nyotron entdeckt – Daniel Prizmant, Guy Meoded, Freddy Ouzan, und Hanan Natan. Die Forscher kontaktierten Anbieter von Sicherheitssoftware und Microsoft über das Problem. Jedoch, offenbar nur zwei Anbieter haben die notwendigen Schritte, um das Problem und sichern das betroffene Produkt zu adressieren.
Die anderen Unternehmen scheinen zu glauben, dass RIPlace ist ein „Nicht-Thema", die Forscher sagte in einem Gespräch mit Bleeping-Computer. Betroffene Unternehmen gehören Namen wie Microsoft, Symantec, Sophos, Kohlenschwarz, Trend Micro, McAfee, Kaspersky, Cylance, SentineOne, Malwarebytes, Crowdstrike, und PANW Traps. Kaspersky und Carbon Black sind die einzigen Unternehmen, dass ihre Produkte gegen die RIPlace Bypass-Technik gesichert.
RIPlace Ransomware Bypass-Technik erklärt
Um zu verstehen, wie die Ransomware Bypass funktioniert, Wir müssen die Art und Weise Ransomware verschlüsselt Daten suchen. Für die Verschlüsselung zu, die Ransomware hat die Zieldateien und ersetzt sie mit verschlüsselten Daten, die über eine von drei Hauptverfahren zum Verschlüsseln:
1. Öffnen und lesen Originaldatei
2. Verschlüsseln Inhalt im Speicher
3. Zerstören Sie die Originaldatei durch:
– Schreiben verschlüsselten Inhalt in Originaldatei,-
– Oder Speichern von verschlüsselten Datei auf die Festplatte, beim Entfernen der Originaldatei des DeleteFile Betrieb mit,
– Oder Speichern von verschlüsselten Datei auf die Festplatte, Ersetzen Sie es dann mit der Originaldatei der Umbenennung mit.
Für einen effizienten Schutz Ransomware, Alle drei Bedingungen müssen neutralisiert werden. Jedoch, es scheint, dass die dritte Methode von Dateien in einer bestimmten Weise zu ersetzen, die Umgehung der Ransomware Schutz ermöglichen könnte,.
Davon abgesehen,, "RIPlace ist eine Technik, Windows-Dateisystem, dass, wenn sie böswillig verschlüsseln Dateien verwendet, können die meisten bestehenden anti-Ransomware Methoden umgehen," das Forscher erklärt. Der Grund RIPlace so schwierig ist, ist, dass es einen Designfehler im Windows-Betriebssystem nutzt, anstatt einen bestimmten Fehler in der Software. Weiter, der Bypass ist einfach zu implementieren.
Die Forscher stellten auch zwei Videos zu zeigen, wie RIPlace Tricks zwei beliebte Endpoint-Security-Produkte - Symantec Endpoint Protection und Microsoft Defender Antivirus.
Mehr Informationen über RIPlace ist verfügbar.