Ransomware detection
| Thesis title: | Detekce ransomware |
|---|---|
| Author: | Chadima, Vojtěch |
| Thesis type: | Diplomová práce |
| Supervisor: | Doucek, Petr |
| Opponents: | Hološka, Jiří |
| Thesis language: | Česky |
| Abstract: | Ransomware je druh škodlivého software (malware), jehož podstatou je provést na napadeném stroji určité změny (např. zašifrování souborů), a následně požadovat tzv. výkupné (typicky ve finanční formě), za jehož uhrazení je přislíbeno vrátit napadený stroj do stavu před útokem (tedy např. dešifrovat soubory). Tato práce se zabývá problematikou ransomware z pohledu útočníků, jejich motivace, způsoby legalizace výnosů a metod, kterými se tvůrci ransomware snaží zamezit, či zkomplikovat jeho detekci a analýzu. Dále jsou popsány typické způsoby jeho šíření a detekce, a technické analýzy několika konkrétních významných útoků ransomware z posledních let (WannaCry, CryptoLocker, NotPetya). Hlavní zaměření práce je spojeno s vybranými open-source nástroji, jmenovitě GRR, Sysmon a osquery, které je možné využít pro účely detekce ransomware. Autor tyto nástroje zakomponoval do několika řešení, které se jsou schopná detekovat a v některých případech zamezit útokům konkrétních rodin ransomware. Tato řešení tak mohou mimo jiné sloužit jako Proof of Concept kupříkladu pro firmy, pro které by bylo komerční řešení zaměřené na stejnou oblast příliš nákladné či náročné na implementaci a následný provoz. |
| Keywords: | WannaCry; Sysmon; GRR; detekce ransomware; osquery; sandbox |
| Thesis title: | Ransomware detection |
|---|---|
| Author: | Chadima, Vojtěch |
| Thesis type: | Diploma thesis |
| Supervisor: | Doucek, Petr |
| Opponents: | Hološka, Jiří |
| Thesis language: | Česky |
| Abstract: | Ransomware is classified as a category of malicious software (often reffered to as malware), which is designed to perform changes on the targeted sytem (e.g. encrypt certain files), and subsequently demand a payment of ransom, which is promised to result in restoring the system state (for instance by decrypting the once encrypted files). This thesis provides information on ransomware from the attackers’ viewpoint, including their motivation and money laundering schemes typical for the industry, and methods used by attackers to evade detection and analysis. Further, common ransomware distribution and detection are described, together with technical analyses of selected recent well-known ransomware attack, i.e. WannaCry, CryptoLocker and NotPetya. Main focus of this thesis is open-source tools which can be leveraged for ransomware detection, and their usage in Proof-of-Concept type of solutions. Author presents a few of solutions he created which were designed to detect and in some cases mitigate particular ransomware families attacks. These solution can be useful for entities like small businesses, which could find commercial solutions focused on this area too costly or too complex in terms of implementation and maintenance. |
| Keywords: | Sysmon; GRR; osquery; ransomware detection; sandbox; WannaCry |
Information about study
| Study programme: | Aplikovaná informatika/Podniková informatika |
|---|---|
| Type of study programme: | Magisterský studijní program |
| Assigned degree: | Ing. |
| Institutions assigning academic degree: | Vysoká škola ekonomická v Praze |
| Faculty: | Faculty of Informatics and Statistics |
| Department: | Department of Systems Analysis |
Information on submission and defense
| Date of assignment: | 5. 11. 2020 |
|---|---|
| Date of submission: | 2. 5. 2021 |
| Date of defense: | 8. 6. 2021 |
| Identifier in the InSIS system: | https://insis.vse.cz/zp/75008/podrobnosti |