ranDecepter：勒索软件攻击的实时识别与威慑

摘要
勒索软件（RW）在数字领域构成重大且广泛的威胁，需要有效的应对措施。主动网络欺骗是一种通过提供虚假信息误导勒索软件并揭示其真实行为的有前景策略。此外，勒索软件通常作为攻击者与防御者之间的通信渠道，允许欺骗技术向攻击者返回虚假数据并消耗其资源。本文介绍ranDecepter，这是一种将主动网络欺骗与实时分析相结合的新方法，以增强对勒索软件攻击的防御能力。

技术实现

ranDecepter实时识别勒索软件并将其隔离在欺骗环境中，自主识别勒索软件代码中的关键元素以创建循环机制。通过重复重启恶意软件并向攻击者传输伪造的加密信息和密钥，迫使攻击者为每个受害者存储这些伪造细节，从而消耗其资源。

评估结果

我们对ranDecepter进行的全面评估使用1,134个真实恶意软件样本和十二个良性应用程序，显示出100%的勒索软件识别准确率，无误报且对响应时间影响极小。此外，在24小时内，ranDecepter使用50个代理在攻击者数据库中生成高达9,223K条条目，展示了其削弱攻击者资源的潜力。

会议信息
已获IEEE通信与网络安全会议（CNS 2025）接收