फ़ाइल सिस्टम गतिविधि के संदिग्ध स्तरों का पता लगाकर रैंसमवेयर हमलों को रोकना

3-4 उपयोगकर्ताओं और कुछ टीबी फाइल शेयर के साथ एक विंडोज 8/10 होम / छोटे कार्यालय प्रणाली मान लें (एक उपयुक्त RAID में 6TB कहें)। अधिकांश फाइलें स्थिर होती हैं, लेकिन कभी-कभी फाइलें स्थानांतरित या संशोधित हो जाती हैं। लेकिन अगर ओवरराइटिंग / डिलीट बहुत अधिक दर पर होने लगे (फाइलों की संख्या / निरंतर दर) तो यह दुर्भावनापूर्ण गतिविधि का संकेत हो सकता है और किसी उपयोगकर्ता को सचेत करने या उस पर प्रतिक्रिया देने के लिए एक घटना शुरू हो जानी चाहिए।

यदि यह हमले की एक रैनसमलॉकर शैली के कारण होता है, और फ़ाइल मोडिंग का पता लगाया जा सकता है और पहले 5/30 मिनट में रोका जा सकता है, तो संभावनाएं काफी अच्छी हैं कि कोई भी नुकसान स्थानीयकृत होगा या उसी या समान डेटा के लिए अन्य बैकअप मौजूद हो सकते हैं। तो यह साथ रह सकता है। (इस दृश्य के लिए मेरा कारण यह है कि स्थानीय रूप से कॉपी करने के लिए 4TB ड्राइव को स्ट्रीम करने में सिर्फ 10-20 घंटे लगते हैं, 6TB RAID को एन्क्रिप्ट करना सोर्स ड्राइव के लगातार पढ़ने-लिखने के कारण बहुत धीमा हो जाएगा)

समस्या यह है कि फ़ाइल ACLs बाइनरी "असीमित अनुमति" / "शून्य अनुमति" से अधिक के लिए अभिप्रेत नहीं हैं। यह अन्य मैलवेयर मुद्दों (खराब अटैचमेंट / डाउनलोड आदि) के लिए काम नहीं करता है और यहाँ मदद नहीं करता है। मुझे लगता है कि उस पहुँच के साथ कितनी और किस तरह की गतिविधि की जा रही है, इस तरह की चल रही "पवित्रता की जाँच"। लेकिन मैं भी फ़ाइल हैंडलिंग को धीमा करना नहीं चाहता जब यह वैध है, जब तक कि वास्तविक संदिग्ध पहुंच का पता नहीं चलता।

किस प्रकार की तकनीकों का उपयोग किया जा सकता है ताकि यदि कोई दुर्भावनापूर्ण प्रक्रिया किसी तरह डिवाइस या लैन पर निष्पादित होने में कामयाब हो, और एक उपकरण पर "रीड-संशोधित-ओवरराइट" या "रीड-सवेनवेफाइल-डिलीओरिजिनल" का एक चक्र शुरू हो, परिणामी फ़ाइल गतिविधि को उस उपकरण द्वारा संदिग्ध के रूप में सतर्क किया जा सकता है?

तो पता लगाने का लक्ष्य फ़ाइल गतिविधि की पागल हड़बड़ी है जिसमें एक रैनसमक्लर-प्रकार का हमला बंद हो जाएगा। यह छिपाना, निरंतर और बहुत विशिष्ट / असामान्य होना बहुत कठिन होगा। इसे रोकने के लिए रैंसमलॉकर शैली के हमलों को सबसे आसान बनाना चाहिए। लेकिन कोई इसे देखने कैसे जाएगा?

अद्यतन करें:

किसी भी गलतफहमी के लिए क्षमा करें। मैंने उस शब्द को बाहर निकाल दिया है जिसके कारण यह एक व्याकुलता के रूप में है - मुझे लगा कि यह हेपफुल होगा। लेकिन एसीएल की तकनीकी वास्तव में यहां विषय से हटकर हैं। समस्या / सवाल यह नहीं है "क्या आप रैनसमवेयर मुद्दों से बचने के लिए अपनी फाइल सिस्टम संरचना को बंद कर सकते हैं", भले ही आप बिल्कुल ऐसा कर सकते हैं।

प्रश्न इसके करीब है: "आपके पास एक बड़ी विंडोज-आधारित फ़ाइल प्रणाली है, लेकिन अनुमतियाँ या तो लॉक नहीं हो सकती हैं या नहीं () जो भी कारण हो, चाहे कुछ सहमत हो या असहमत )। सिद्धांत रूप में एक रैन्सम्लॉकर हमले में कई घंटे लगेंगे और असंबद्ध और बेहद विशिष्ट फ़ाइल सिस्टम गतिविधि उत्पन्न होगी, जिस पर ध्यान दिया जाए, तो निश्चित रूप से नुकसान होने से पहले प्रभावी कार्रवाई की अनुमति देने की क्षमता होगी। रैनसमवेयर गतिविधि पूरी तरह से असंदिग्ध है, इसलिए इस असामान्य फ़ाइल सिस्टम व्यवहार का पता लगाने और सचेत करने से व्यापक क्षति को रोका जा सकता है, भले ही मैलवेयर का पता न चले। प्रश्न: यदि इस तरह की पहचान वांछनीय थी, तो किस तरह की गतिविधि का पता लगाने के लिए कौन से तरीके / उपकरण / तकनीक का उपयोग किया जा सकता है? "