NoCrypt - Machine Learning Anti Ransomware System
 

Hallo zusammen,

wir möchten euch unser neuestes Projekt "NoCrypt" vorstellen, welches sich derzeit noch in der Entwicklungsphase befindet.

NoCrypt ist eine innovative Sicherheitssoftware und bietet Windows-Nutzern durch einen neuartigen auf maschinellen Lernen basierenden Ansatz, schnellen und zuverlässigen Schutz vor erpresserischer Schadsoftware (Ransomware) und bleibt dabei unauffällig im Hintergrund.
Durch den Einsatz von maschinellen Lernen benötigt die Software keine Signaturen die ständig aktualisiert werden müssen und schützt somit stets vor aktuellen Bedrohungen.

Der Sinn dieser Software ist es, einen neuen Ansatz zu entwickeln, der durch Machine-Learning in der Lage ist, jegliche Ransomware frühzeitig zu erkennen und zu blockieren.

Bei der aktuellen Version handelt es sich noch um ein Technical Preview, sprich um eine Beta-Version. Es sind also noch nicht alle Funktionen vollständig implementiert und es können vermehrt Fehler (BSOD etc.), sowie False Positives und False Negatives auftreten.

Funktionen die derzeit nicht verfügbar sind:

• Quarantäne
• Aktivitäts-Anzeige (derzeit nur zufällige Daten)
• Niederländische Sprache
• File-Recovery Algorithmen (es kann sein, dass ein paar wenige Files verschlüsselt werden)

Außerdem schützt die Software momentan nur Files, die auf dem C:\ Laufwerk liegen.

Die Software wurde schon mit einigen Ransomware-Arten getestet.
Unteranderem mit Locky, Cerber, CryptXXX und PizzaCrypts.

Neben mir, arbeiten noch @nocrypt_t (Thomas) und @nocrypt_w (Wolfgang) fleißig daran, die Software zu verbessern und mit eurer Unterstütztung so schnell wie möglich die erste Beta-Phase abzuschließen.

An dieser Stelle möchten wir noch mal ausdrücklich darauf hinweisen, dass die Verwendung dieser Software aktuell NICHT für den Einsatz in Produktiv-Systemen geeignet ist!

Wir freuen uns über jede Unterstütztung. :) Danke!

Screenshots:
http://machinecode.de/img/main.png

http://machinecode.de/img/schutz.png

http://machinecode.de/img/lang.png

http://machinecode.de/img/settings.png

Download:
NoCrypt Setup 64-Bit
NoCrypt Setup 32-Bit

Ohhh wer hat denn da das EMSI GUI geklaut?

Zugegeben, der Kachel-Look gefiel mir immer schon gut. :P
Aber bis auf die Kacheln, ist das Interface ganz anders aufgebaut.

Mal Kritik aus einer ganz anderen Ecke.
Und die Linux/Unix- Fraktion wird Dich bei der Bezeichnung selbst mit dem dümmsten Rechtsverdreher (Anwalt) sowas von in der Tonne versenken....
Ich persönlich stehe da eher auf Programme meiner Hausbank. Bei meiner Hausbank ist es Reiner SCT.
Ich brauche so ein Programm nicht. Ich möchte Dir aber nicht den Mut nehmen:)

Hey Felix, danke für den Input. Muss mal nachlesen, ob die Klassennamen rechtlich schützen. :zunge: Aber der Name sollte das kleinste Problem sein.

Das versteh ich nicht ganz, in welchem Zusammenhang siehst du da eine Anti-Ramsomware Software mit einer Banking Software?

P.S.: Die Jungs von Reiner SCT kenn ich sogar persönlich. ;)

Wenn ich eine ordentliche bezahlte Software (egal ob USB-Stick oder Card-Reader) meiner Hausbank besitze, mein Rechner sauber ist , muss ich mir doch nicht noch sonstwas installieren. Erkläre mir doch mal den Nutzen, warum ich mir dann Deine irgendwann kostenpflichtige Software installieren soll. Ich habe den Eindruck, dass Du das TB benutzt, irgendeine Software zu promoten.

Änlich ist mein Eindruck auch. Allerdings sehe ich das je nachdem, wie es gemacht wird bzw. worum es geht gar nicht so kritisch.
Man könnte es auch als: "Guckt mal, was es Neues gibt, macht das als (zusätzliche) Sicherheitssoftware Sinn?" (wenn es auch vermutlich nicht ganz so neutral gemeint ist J)

Da ich persönlich mit Emsi und deren Echtzeitschutz rumlaufe, bräuchte ich es (wohl) auch nicht.
& da ich persönlich zu wenig Ahnung von der Materie habe - Was ist der Unterschied / macht es besser zu Malwarebytes Anti-Ransomware ?
Bzw. warum sollte man später als User auf dein Tool zurückgreifen? (Und das ist weniger als Kritik als eher ein: Ich hab keine Ahnung :D gemeint)

Ransomware hat sich in den letzten Jahren zu der wohl größten Cybersecurity Bedrohung entwickelt.
Herkömmliche AV Ansätze sind oftmals nicht in der Lage, neue Bedrohungen rechtzeitig zu erkennen.
Deshalb haben wir uns auf der Universität zusammengesetzt und überlegt, wie wir mit neuen Technologien (maschinellem Lernen), neue Ansätze zur Ransomware Erkennung entwickeln können.

Auch wenn der Vergleich etwas weit hergeholt ist, aber ich vergleiche das immer gerne mit dem Beispiel von Elektroautos.
Die wurden auch lange als teurer, technischer "Schnick-Schnack" abgetan. Wozu Zeit & Geld in die Entwicklung neuer Antriebsarten stecken, wenn die bisherigen doch eh so gut funktionieren.
Und man schaue wo zb Tesla jetzt steht.

Der Nutzen dieser Software liegt logischerweiße primär darin, durch den Einsatz von neuen Technologien den Nutzer vor Ransomware zu schützen.

Dass andere AV Produkte auch vor Ransomware schützen ist ganz klar, aber uns geht es nicht darum, diese zu ersetzen, sondern darum, neue Technologien zu entwickeln, Ransomware zu erkennen.

Wir sind IT-Security / Computational Intelligence Studenten, die Software entwickeln. Ich sehe das TB als einen Ort, um mit erfahrenen Nutzern Meinungen auszutauschen, Feedback einzuholen und in weiterer Folge einen neuen Ansatz/Software zu entwickeln, Malware (Ransomware) zu erkennen.

Die Entwicklung von (Sicherheits-) Software ist extrem Zeit aufwendig und kostet neben der vielen Zeit auch Geld.
Deshalb ist Software oft kostenpflichtig.
Und da ich mal annehme, dass du indirekt auf dieses Thema hier ansprichst, die Nutzung dieser Software war und ist für Nutzer aus dem TB, die die Entwicklung unterstützt haben bzw immer noch unterstützten (durch Beta-Tests, Feedback, etc), vollkommen kostenlos.

P.S.: Inwieweit ein Chipcard-Reader und ein sauberer Rechner vor Ransomware schützen soll, versteh ich immer noch nicht ganz.

Und gleichzeitig erhoffst du dir hier, Beta Tester zu finden die dein NoCrypt testen, dir natürlich Feedback geben, aber dir auch Bugs in der Software nennen die du vielleicht noch gar nicht selbst bemerkt hast und die du dann beheben kannst. das anze natürlich in der Hoffnung von dir das NoCrypt dann bald eine Final Software wird die du dann verkaufen kannst. Wer sagt uns aber das NoCrypt mit seinen Technologien vor jeder Art von Ransomware schützen wird die es bis jetzt gibt und die es in Zukunft geben wird?
Ich finde: mit der beste Schutz ist das man als User regelmässig Backups seiner Daten die nicht verloren gehen sollen machen sollte auf mindestens 1 USB Festplatte die nur dann online ist wenn sie wirklich benutzt wird und sonst offline ist und somit von Ransomware unzugänglich ist. Und gleiches sollte für das System gelten. Also regelmässig Systembackups/images der gesamten Festplatte oder aber mindestens der wichtigen Systempartition sollten ebenfalls auf eine USB Festplatte gemacht werden.

Das ist alles richtig. Aber leider nicht das Thema. Wenn es drauf ankommt, hat natürlich kein Opfer ein vernünftiges Backup. Natürlich sollte man immer wichtige Daten gesichert haben, je wichtiger, desto häufiger und auf mehr backupmedien verteilt, gerne auch versioniert, allein schon weil man versehentlich was löschen oder überschreiben kann oder Datenträger/Dateisysteme kaputtgehen können.

Wenn man jetzt aber mal dieses Risiko ausblendet und nur von der Gefahr von Krypto-Trojanern ausgeht, wär so eine Lösung, die Verschlüsselungszecken erkennt schon nicht schlecht. Ist die Frage wie zuverlässig das ganze denn funktioniert. Emsi kann sowas doch schon und lt. schrauber hat es durch die behaviour detection bisher alle erkannt. Nur muss dann wieder der Anwender entscheiden.

Ich denke man kann es drehen und wenden wie man will, ein Mindestmaß an Wissen muss beim Anwender einfach da sein. Selbst wenn er einen Admin beauftragt hat und der ihm die Adminrechte entzogen hat, kann er immer noch mit Datenverlust dastehen. Ohne Adminrechte kann ein ausgeführter ransom die Schattenkopien nicht löschen, aber im schlimmsten Fall wären wieder mehrere Stunden Arbeit verloren. Purzel, so häufig kannst du kein Backup machen.... es müssen also andere Strategien her, die vertretbare Kosten und einen vertretbaren Aufwand verursachen.

Genau so funktionieren Beta-Tests und ja, natürlich erhoffen wir uns hier Beta-Tester zu finden. ;) Was ist daran so schlimm?
Und selbst wenn die Software irgendwann mal verkauft werden sollte, wird sie für Beta-Tester bzw. für Leute die das Projekt unterstützen, immer kostenlos sein.

Die Leute die sich dafür interessieren und bei der Entwicklung mithelfen wollen (durch Beta-Tests usw.), müssen nie für fertige Software zahlen. Das ist ein gegenseitiges Geben und Nehmen.

Und die, die sich dafür nicht interessieren, werden es ja eh nicht testen / verwenden und somit auch nie etwas zahlen (müssen) dafür.

Das kann nie jemand zu 100% sagen, aber man kann durch die Entwicklung und durch den Einsatz von neuen Technologien versuchen, den Malware-Entwicklern immer einen Schritt vorraus zu sein (und soweit ich das Beurteilen kann, ist Emsi darin ganz gut).
Belegen kann man das dann wirklich nur durch ausführliche Tests mit verschiedenster Ransomware.

cosinus, meine Ausführung zu den Backups richtet sich vornehmlich an Heimanwender und nicht an irgendwelche Firmen mit einem Administrator und mehreren Mitarbeitern. Würde man als Heimanwender das umsetzen was ich vorgeschlagen habe, dann hättest du und deine Kollegen weniger User hier die sich melden das irgendeine Ransomware ihre Daten verschlüsselt hat denn dann könnten die betroffenen User sowohl ein hoffentlich zeitnahes Systembackup einspielen, es müsste keine Bereingung stattfinden, als auch ihre auf der USB Festplatte gesicherten, nicht verschlüsselten Daten wieder zurückspielen. Mein Vorschlag mit den Backups schliesst ausserdem nicht aus das User Geld in die Hand nehmen und sich als Schutzsoftware vor Ransomware EAM, Hitman Pro Alert, Win AntiRansom oder NoCrypt zulegen und das installieren. Aber keiner von uns kann letztendlich sagen ob eine der genannten Software vor wirlich allen Ransomware Varianten schützt und wenn dann doch eine Ransomware Variante durchkommt, von der Schutzsoftware nicht erkannt wird und eine Verschlüsselung findet statt, dann kann der betroffene User auf die von mir genannten Backups zurückgreifen und verliert keine bis wenige ihm wichtige Daten je nachdem wie aktuell die Backups sind und das natürlich unter der Voraussetzung das zum Zeitpunkt des Befalls das Backup Medium offline war.

purzel! Das ist alles bekannt, aber Backups machen leider die wenigsten User. Da kannst du du bis zum St. Nimmerleinstag deine "mach vernünftige Backups" runterbeten, es wird trotzdem immer Fälle geben wo so eine Software Datenverlust verhindert hätte.

Tja cosinus ich bin wohl ein Optimist der hofft das sich mehr Heimanwender dem Thema Backups annehmen würden um vor Datenverlust durch Ransomware weitestgehend geschützt zu sein. Der Idealfall wäre der Einsatz eines der Tools die vor Ransomware schützen und als 2. Massnahme eben besagte Backups.

Wir driften mit der unsäglichen Backup-Diskussion vom Hauptthema ab. Wer es bis heute nicht begriffen hat/begreifen will, dem ist nicht zu helfen.
Ich bin ja nicht generell gegen das Programm. Ich sehe die Zielgruppe bei Usern, die weiterhin mit Pin und Tan unterwegs sind. Egal, ob es mal ein Bezahlprogramm wird, für den letztgenannten Personenkreis könnte es eine Alternative sein. Mich stört lediglich der irreführende Name. Das habe ich ja schon kritisiert:kloppen:

felxi1 du verwechselst immer noch das Programm SecureBanking von Niklas mit dem neuen Projekt NoCrypt das sich gerade erst im Beta Status befindet und das vor Ransomware Schutz verspricht.

Du quasselst hier unqualifiziert dazwischen. Ich rede hier ausschießlich von Noscript. Ich bewege mich diesbezüglich nur in diesem Thread. Den anderen Tread habe ich schon gelesen. Wenn Du etwas anderes hier herausliest und vielleicht noch irgendwelche Stimmen aus dem Rechner hörst, wäre Dir der Besuch bei einem Psychoterapeuten Deiner Wahl anzuraten. Ich habe den Eindruck, Du verfällst wieder in Dein altes Muster:kloppen:

Was hat denn NoScript in deinem PIN/TAN Szenario verloren Herr Felix? :wtf:

Dann erkläre mir doch mal was das von dir mit NoCrypt zu tun hat:
??

Lese Sie #1. Wenn Sie des Lesens überhaupt kundig sind. Und nur auf #1 beziehen sich meine Antworten.
Ab jetzt erwarte ich von Ihnen, dass Sie das Du weglassen. Ansonsten kann ich ganz böse werden:kloppen:

Erstmal hallo liebes NoCrypt-Team,
Dankeschön das ihr euch der neuen Bedrohung durch Ransomware annehmt.
Die Idee dahinter finde ich Grundsätzlich gut und ich respektiere auch eure Arbeit die in das Projekt gesteckt wird.
Den Nutzen für den "Ottonormalo" sehe ich noch nicht ganz. Sehr viele bekannte AV-Anbieter haben ihre Programme schon auf die neue Ransomware Bedrohungen aufgerüstet. Der normale Nutzer kann doch gar nicht einschätzen ob NoCrypt oder ein kommerzielles AV-Produkt die bessere Lösung ist.
Sollte der Nutzer eure Lösungen nutzen wollen müsste er 2-3 Programme installieren, kaufen, pflegen
-Einen AV als Basisschutz Free oder Pay lass ich mal dahingestellt.
-SecureBanking zum sicheren online Banking und surfen
-NoCrypt als Schutz gegen Ransomware
Und das einzige Argument welches Ihr vorzubringen habt ist das durch neue Erkennungsverfahren Malware "vielleicht" früher erkannt wird.
Der normale Nutzer wird Wahrscheinlich lieber ein Produkt nutzen welches alle Bereiche abdeckt, als ein "Sicherheitskonzept" was aus 3 verschiedenen Programmen besteht.
Ist es nicht möglich das bestehende SecureBanking aufzurüsten gegen Ransomware?
Das Konzept der lernenden Maschine ist bei beiden Projekten gleich oder?
Könnte man nicht Synergien nutzen und es für die Nutzer damit attraktiver und einfacher machen?

Ich hoffe das war jetzt nicht zu negativ und ich konnte ein paar Gedanken anstossen.

Achja und Rechtschreibfehler dürfen behalten werden, ich bin im Nachtdienst und deswegen BrainAFK:dankeschoen:

Man hat halt eine weitere Option bzw Alternative. Es gibt vllt welche, die keinen AV oder nur MBAM oder nur MSE Windows Defender nehmen aber dann eben was ausprobieren möchten, um ein wenig Schutz vor Kryptos zu haben. Vllt wär das was als zusätzlicher Schutz auf Windows-Fileserver, da belässt man es ja meist nur mit MSE.

Danke für den Input BeRealm!

Ja generell spricht natürlich nichts dagegen, später die Software zu vereinen. Haben wir natürlich auch schon in Betracht gezogen. Vorerst wollen wir aber erst mal NoCrypt auf Herz & Nieren testen und fertig stellen.

Zum Thema "maschinelles Lernen" (engl. Machine Learning): Secure Banking arbeitet zwar auch rein verhaltensbasiert, verwendet aber kein maschinelles Lernen um Banking / Browser Malware zu detektieren.
NoCrypt hingegen setzt auf Machine Learning Verfahren um Ransomware zu detektieren.
Machine Learning Verfahren gibt es schon länger, kommen aber erst jetzt langsam zum Einsatz, da wir erst jetzt die nötige Rechenleistung zur effizenten Verarbeitung der Daten haben.
Paar nähere Infos zum Thema findest du auf Google. ;)

Und das mit der Zielgruppe ist immer so ein Thema, wir sehen die eher im Business-Bereich bzw. vorerst eher bei Leuten, die bereits mal infiziert waren und sich jetzt zusätzlich schützen wollen.

Ich denke hier eher, dass genau die nicht die Zielgruppe sein werden. Die gehen wahrlich nicht mittels eines Browsers ihre Rechnung bezahlen:blabla:
Zielgruppe sehe ich eher im Bereich der noch vorhandenen Pin-Tan-Kunden:daumenhoc

Felix, was hast du eigentlich hier immer mit deiner PIN und TAN, bitte was hat das hier mit NoCrypt zu tun, das vor Krypto-Trojaner Schutz bieten soll weil es die erkennt BEVOR die Dinger ihr Unheil anrichten? :wtf:

Das würde mich auch interessieren.

NoCrypt soll eine Infektion mit einer Ransomware / Krypto-Malware blockieren.
Banking Schutz bietet diese Software keinen.

Ist davon auszugehen das durch das neue "Machine Learning" mehr Ressourcen am Computer benötigt werden als mit üblichen Verfahren?

Kann man NoCrypt im Businessbereich auch auf Servern nutzen oder nur auf Clients?
Sollte es nur auf Clients genutzt werden können: Besteht die Option oder eine zentrale Steuerung alle Clients anzusprechen und zu konfigurieren?

Um für Leute interessant zu werden die sich bereits Infiziert hatten, müsste mehr Werbung gemacht gemacht werden. Sehr viele Leute kennen noch nicht mal SecureBanking. Um ehrlich zu sein würde ich selbst SecureBanking nicht kennen, hätte ich es hier nicht entdeckt.

Nein, ganz im Gegenteil, da wir sogenanntes "Eager/Lazy Learning" verwenden, findet die Trainings- / Lernphase schon vorher statt. Die daraus gelernten Parameter werden dann in die Software programmiert, mit denen dann eine Klassifikation anhand eines mathematischen Modells stattfindet.

Auf allen Systemen, wo Ransomware aktiv ausgeführt werden kann, kann NoCrypt eingesetzt werden.
Und so ein zentrales Tool wär natürlich praktisch, und wird sicher auch mal kommen, aber aktuell gibts sowas noch nicht. ;)

Das stimmt.. wir werden daran arbeiten. :)

Damit hängts ihr aber der Ransomware immer hinten nach oder? Wenn mal ein Modell raukommt welches zwar durch die Lern-Algorythmen entdeckt werden würde aber nicht durch deren Ergebnisse kann die Software nehm ich an nicht allzu viel machen.

Im Regelfall sollten wir der Ransomware dadurch immer einen Schritt vorraus sein.

Da wir das Verhalten von Ransomware verallgemeinern bzw. Muster darin erkennen, kann unser System mit einer gewissen Wahrscheinlichkeit unbekannte Daten/Ransomware erfolgreich erkennen. Das ist der Sinn und Zweck von der Lernphase. Berechnen von Parametern, um unbekannte / neue Daten (Ransomware) erfolgreich klassifizieren zu können.

Schlagt mich nicht wenn ich hier so rein platz , ... die Idee des "maschinelles Lernen" finde ich schon generell gut, wenn das funktioniert.
Den Namen NoCrypt finde ich aber nicht ganz so ... gelungen.

Falls das Projekt sich durchsetzt und sich auch unter Normal User umherspricht, besteeht Verwechslung mit NoScript.

Der normale nicht englisch intressierte User hört aus NoCrypt in etwa den Wortlaut nokript und gibt es womöglich auch so bei Google ein.
Das nokript aber ähnelt dem noscript doch erheblich ... und beides ist doch was verschiedenes ....

sorry aber ich kenne mich auch ein wenig aus mit englisch, das so ähnlich geschrieben wird, wie man es hört und finde den Namen nicht ganz ... unverwechselbar. Da ich nun mal verdammt viele Details sehe, sehe ich auch Schmierereien an den Wänden, die ja von jugendlichen Kids oder anderen Chaoten nieder geschrieben wird und mußmich des öfteren totlachen über die Art und Weise der Fehler ... da der Begriff noscript ja doch ein mal um die Ohren fliegt und man damit auch eeig. nicht groß PC crashen kann (ist ja nur geblockt, nicht gekillt der Prozess) kann ein unerfahrender User mit noscript ruhig rum hantieren, .... wenn NoCrypt noch in der Beta ist, zudem neue "Art" hat wie es funzt, gehört es aber nicht in Kinderhände oder heranwachsene DAUs, die auf alles klicken, was denen vor die Flinte kommt.^^

Hoffe ihr versteht mich wss ich damit sagen will ... der Name sollte einzigartiger klingen ... es ist doch auch was neues. Zumindest ein Zusatz am Namen, der Verwechslung wesentlich geringer macht, dann müßte man nicht den jetzigen namen komplett verwerfen.

Hey Ghost123,

danke dir auch für den Input, da ist natürlich auch was Wahres drann. Als ich den Namensvorschlag zum ersten mal hörte, kam er mir auch schon irgendwie bekannt vor. Am nächsten Tag dann ist mir eingefallen, dass es mir wegen "NoScript" so bekannt vorkam. :D

Ein weiterer Namensvorschlag war "M.A.R.S." für "Machine Learning Anti Ransomware System". Wobei MARS als Abkürzung ja auch eher sub optimal ist.

Was den Namen angeht, sind wir natürlich offen für neues. :)

Jetzt tue mal nicht so, als ob Du das nicht gelesen haben willst.

Was meinst du damit?
Natürlich hab ich das gelesen. :) Wie gesagt, wir sind ganz offen was einen anderen Namen angeht.

nenn es doch "NoRansom" oder "RansomStopper" oder "Cryptokiller" :snyper: :lach:


edit: oje, ich glaub den cryptokiller gibt es schon :D

Ramson Terminator :lach:

Nein scherz beiseite schieb. :D

Ramson ist aber okay, merkbar und auch leicht zu schreiben, wenn ich das nur gehört hätte.

mhhh, ... aber generell ist ein aus Abkürzung entstandenes Wort nicht schlecht. Denn komplizierte Dinge wie xfklevöö30ß54jl sind leider absolut nicht gut zu prägen, da wäre was aussprechbares besser.

Wie wäre es mit RansomDefense?:D

mal was ganz simples : AntiCrypt oder CryptAway oder RansomStop
P.S.: Finanzielle Anteile zur Namensgebung werden gerne angenommen :P

Oder YACK (Yet Another Ransom[ware ?] Killer).

Und als Produklogo brauchst du dieses prachtvolle Exemplar.

https://lh5.googleusercontent.com/--...0ae0c8ea08.jpg

Ein Rindvieh als Logo:huepp:
Deine Ideen waren auch schon besser:rolleyes:

Als Kunde würde mich YACK samt Logo ansprechen, ich bin für YACK :daumenhoc

Ich finds ehrlich gesagt auch nicht mal so schlecht. :D Aber das "C" in YACK passt halt nicht so rein, da es nirgends vorkommt. :/

Das C sollte natürlich für Crypto und nicht Ransomware stehen :blabla:

Hm, stimmt- schade , aber das geht schon in die richtige Richtung :-)

->zu früh abgeschickt, Erklärung von Deathkid leuchtet ein :-))

Wie wär's mit AYCABTU? (All Your Cryptos Are Belong To Us) :rofl:

Wer soll sich das merken können cosinus :twak::zunge:

Danke für die Vorschläge! :) Wir werden das intern nochmal besprechen. YACK gefällt uns ganz gut, einziges Manko: wenn man danach googled, findet man halt zuerst mal jede Menge Jak's und nicht uns.. :/

hey Niklas und co.
wie siehts mit dem Projekt aktuell aus? Gibt's irgendwelche Neuigkeiten?