Visitez notre kiosque à CANSEC les 27-28 mai
Les rançongiciels représentent une menace financière majeure pour les entreprises et les particuliers, avec des incidents comme WannaCry affectant plus de 200 000 machines et NotPetya coûtant 200 millions de dollars à une seule entreprise. Les approches de détection actuelles peinent à distinguer le chiffrement légitime du chiffrement malveillant et à détecter les nouvelles variantes.
La solution proposée combine deux détecteurs complémentaires fonctionnant en tandem. Le premier détecteur utilise un classificateur d'apprentissage machine entraîné sur un ensemble de caractéristiques comportementales renforcées. Le second détecteur surveille l'entropie des fichiers combinée à leurs signatures pour identifier les opérations de chiffrement suspectes.
L'innovation principale réside dans l'introduction de caractéristiques basées sur les opérations groupées de clés de registre. Contrairement aux approches existantes qui utilisent des variables binaires pour vérifier la présence de clés spécifiques, cette méthode analyse les ruches de registre de manière groupée, capturant ainsi les patterns communs à différentes familles de rançongiciels. L'espace de caractéristiques comprend 3 997 opérations de registre, 286 appels API, 2 770 opérations en ligne de commande, 404 bibliothèques dynamiques Windows, et 34 809 énumérations de répertoires.
Le second détecteur exploite deux caractéristiques distinctives des rançongiciels: le chiffrement complet des fichiers incluant les en-têtes, et l'utilisation d'algorithmes de chiffrement robustes générant une entropie très élevée. L'analyse révèle que les fichiers chiffrés par rançongiciel présentent une entropie moyenne supérieure à 7 sur l'échelle de Shannon et des signatures manquantes ou corrompues.
Cette combinaison permet de différencier efficacement le chiffrement déclenché par l'utilisateur du chiffrement malveillant. Les fichiers compressés légitimes par 7-zip ou WinRAR conservent leurs signatures reconnaissables, tandis que les rançongiciels génèrent des extensions inconnues avec signatures absentes.
L'évaluation utilise un nouveau jeu de données public comprenant 666 échantillons de rançongiciels appartenant à 20 familles différentes (TeslaCrypt, Cerber, Locky, WannaCry, Petya, etc.) et 103 binaires bénins. Trois algorithmes ont été comparés: régression logistique, forêts aléatoires et SVM.
La régression logistique régularisée surpasse les autres approches avec un taux de détection de 100% et un taux de faux positifs de seulement 1,41%. Pour la détection de nouvelles variantes, les familles Cerber et Locky ont été exclues de l'entraînement puis testées séparément, atteignant 100% de rappel avec des taux de faux positifs de 1,61% et 3% respectivement.
L'architecture multicouche permet une sauvegarde automatique déclenchée dès qu'une anomalie est détectée, minimisant la perte de fichiers lors d'une attaque.
