Undo von Ransomware mittels Machine Learning

Matthias Held , Matthias Fratz  

Welches Problem willst Du mit Deinem Projekt lösen?

Der Verlust von privaten Bildern, Videos oder wichtigen Dokumenten ist für viele Menschen ein Schreckgespenst. Kriminelle haben es deshalb auf genau solche Dateien abgesehen, nehmen sie durch Verschlüsselung in virtuelle “Geiselhaft” und fordern Lösegeld, mit dem ungewissen Versprechen, die Daten wieder zu entschlüsseln. Was für Privatnutzer den Verlust wertvoller Erinnerungen bedeutet, kann für Unternehmen existenzbedrohend sein: Britische Krankenhäuser waren letztes Jahr mehrere Tage kaum funktionsfähig, der internationale Güterverkehr war wochenlang behindert. Gesellschaft und Wirtschaft brauchen daher unbedingt einfache Lösungen, damit im Notfall alle Daten wiederhergestellt werden können.
Im Rahmen einer Masterarbeit wurden grundlegende Eigenschaften und Erkennungsmerkmale von Kryptotrojanern (engl. Ransomware) analysiert.
Die Haupterkenntnis war, dass bei Nutzung eines modernen Cloudspeichers (wie der persönlichen Open-Source-Cloudlösung Nextcloud) die betroffenen Dateien leicht aus dem Cloudspeicher wiederhergestellt werden können.
Die Zuverlässigkeit der prototypischen Implementierung als App für Nextcloud ist noch nicht optimal. Deshalb sollen nun Machine-Learning-Techniken zur besseren Klassifikation zum Einsatz kommen und auch weitere Cloudspeicher von diesem wichtigen Schutz profitieren können.

Wie löst Dein Projekt das Problem?

Moderne Cloudspeicher wie Nextcloud speichern ältere Versionen aller Dateien. Anhand des Schreibverhaltens und der geschriebenen Daten lässt sich ein Kryptotrojaner-Angriff erkennen und der Nutzer kann für jede Datei die letzte unbeschädigte Version wiederherstellen.
Das Projektteam möchte die bestehende regelbasierte Methode der Nextcloud Ransomware Recovery-App um einen Machine Learning Ansatz ergänzen. Dazu sollen das Zugriffsverhalten und die geschriebenen Daten echter Kryptotrojaner erfasst und frei zur Verfügung gestellt werden. Anhand dieser Daten wird dann ein geeignetes Klassifizierungsmodell bestimmen, welches zur Erkennung von Kryptotrojaner-Angriffen trainiert werden kann. Außerdem werden diese Daten zur Verfeinerung der bestehenden kryptotrojaner-spezifischen Regeln genutzt. Um diese Technik sinnvoll einsetzbar zu machen, soll ein direkt nutzbares vortrainiertes Erkennungsmodell zur Verfügung gestellt werden, sowie eine REST-basierte Komponente für die Einbindung in andere Cloudspeicher-Software. Diese unabhängige Komponente kann dann aus verschiedenen schlanken Apps und Plugins für Cloudspeicher angesprochen werden und damit Schutz gegen Kryptotrojaner bieten.Die Umsetzung erfolgt im engen Austausch mit Prof. Dr. Marcel Waldvogel von der Universität Konstanz.

An wen richtet sich Dein Tool?

Zur Zielgruppe gehört jeder, der seine Daten entsprechend schützen möchte, seien es Firmen, Organisationen oder Privatpersonen. Das Projekt sill weitere Open-Source-Cloudspeicher-Software integriert werden, wie schon im Falle von Nextcloud geschehen, so dass eine sofort nutzbare Lösung zugänglich ist. Durch das Angebot zur Verwendung des Klassifizierungstools sowie der erhobenen Datensätze können technisch versierte Benutzer darauf aufbauend Systeme entwickeln.

Logo: Das Bundesministerium für Bildung und Forschung (BMBF)
Logo: Open Knowledge Foundation Deutschland