PayPal patentiert Technik zur Erkennung von Ransomware

Das US-Patentamt hat PayPal ein Schutzrecht zugesprochen, das Techniken zur Erkennung und Eindämmung von Ransomware-Angriffen beschreibt. PayPal will dem Patent 10262138 zufolge in der Lage sein, eine Infektion mit einer Erpressersoftware in einem sehr frühen Stadium zu erkennen, um die Verschlüsselung aufzuhalten oder Kopien der Originaldateien auf einem entfernten Server zu speichern, bevor sie verschlüsselt werden.

Demnach überwacht das von PayPal entwickelte System den Arbeitsspeicher, um bestimmte Muster zu erkennen, die beim Verschlüsseln von Dateien auftreten. Eine Whitelist legt zudem fest, welche Anwendungen diese Schritte ausführen dürfen. Sollte eine App nicht auf dieser Liste stehen, wie beispielsweise eine Ransomware, dann würde das PayPal-System versuchen, die Aktion zu stoppen. Sollte dies nicht möglich sein, würde ein Cloud-Backup erstellt.

PayPals Ansatz unterscheidet sich deutlich von anderen Systemen, die vor Ransomware-Angriffen schützen sollen. Ein US-Entwickler namens Sean Williams stellte 2016 ein Erkennungssystem für Linux vor. Cryptostalker überwacht das Dateisystem und reagiert auf das Schreiben neuer Dateien mit hoher Geschwindigkeit, die zudem zufällige Zeichenfolgen enthalten – was ein Zeichen für verschlüsselte Inhalte ist. In dem Fall stoppt Cryptostalker den Schreibvorgang und alarmiert den Nutzer.

Die im Dezember 2016 von Cybereason vorgestellte App und inzwischen eingestellte App RansomFree dämmte Angriffe ein, indem sie „Köder“-Ordner für Erpressersoftware einrichtete, die im Fall einer Infektion zuerst verschlüsselt werden sollten. Sobald die App Veränderungen in diesen Ordnern erkannte, identifizierte sie den zugehörigen Prozess und stoppte ihn.

Auch Windows 10 verfügt seit Version 1709 über einen Ransomware-Schutz. Microsoft setzt dabei ebenfalls auf eine Whitelist, die regelt, welche Apps auf bestimmte Ordner zugreifen dürfen. Allerdings wird die Funktion wohl nicht sehr häufig genutzt, da sie zuerst vom Nutzer konfiguriert werden muss. Im Rahmen der manuellen Einrichtung ist es erforderlich, jeder harmlosen App die Zugriffsrechte auf ebenfalls auszuwählende Ordner zu gewähren.

Entwickelt wurde das PayPal-System von Schlomi Boutnaru, ehemals Chief Technologist für Cyber Security. Seit Juni 2018 ist der Manager jedoch Chief Technology Officer beim Cloud-Sicherheitsanbieter Rezillion.