Webroot Secure Anywhere (di seguito WSA) è molto efficace nel bloccare i ransomware crittografici come cryptolocker, e opera a diversi livelli.
- Come prima cosa, WSA identifica e riconosce l’hash del dropper zeus che scarica il cryptolocker. Infatti, non si viene infettati dal cryptolocker direttamente: di solito c’è un dropper Zeus che si mette in comunicazione con un server e gli comunica informazioni sul PC che sta cercando di infettare. Sulla base di queste informazioni il server invia il ransomware adatto per quell’ambiente – i diversi sistemi operativi usano comandi diversi e quindi la criptazione dev’essere lanciata in modo diverso. È molto probabile che questo dropper sia già conosciuto a Webroot, cosicché l’esecuzione dell’allegato infettante verrebbe bloccata prima che scarichi cryptolocker.
- Sebbene improbabile, è possibile che il dropper non venga riconosciuto e riesca a scaricare cryptolocker. In questo caso, WSA riconoscerebbe l’MD5 del ransomware e lo bloccherebbe.
- Ancora più improbabile, è che né il dropper né il ransomware vengano riconosciuti. In questo caso, entrerebbe in funzione l’analisi euristica di WSA. Molti ransomware, per esempio, cancellano il VSS (Volume Shadow Service) per impedire che sia possibile recuperare i file: un’azione del genere sarebbe riconosciuta come dolosa e bloccata da WSA, assieme all’eseguibile che cercasse di eseguirla. Lo stesso succederebbe se un processo cercasse di accedere a vssadmin.exe o ancora se cercasse di cancellare i punti di riprsitino del sistema, o cercasse di scrivere nel registro di Windows.
- Se nonostante tutto questo il ransomware riuscisse a criptare i file, WSA registra (e sarebbe in grado di annullare) tutte le azioni da parte di software sconosciuti. Alcune varianti del Cryptolocker riescono a fingersi processi di Windows riuscendo a criptare i files. Per questo tipo di varianti, è più difficile eseguire il rollback, vista l’apparente legittimità del processo usato per criptare i file. Una volta che il software di criptazione fosse riconosciuto come una minaccia, sarebbe messo in quarantena e le sue azioni annullate. Questo ‘annullamento’ comprende il ripristino di voci di registro modificate e di file cui il processo – ora catalogato come minaccioso – ha acceduto.