Abordagem Inteligente com Combinação de Características Estruturais para Detecção de Novas Famílias de Ransomware

Ransomware é um software malicioso que tem como objetivo criptografar os arquivos do usuá- rio e exigir um resgate para desbloqueá-los. Trata-se de uma ameaça cibernética que pode causar significativos danos financeiros, além do comprometimento de privacidade e integridade dos dados. Embora os scanners de detecção baseados em assinaturas comumente combatam essa ameaça, eles falham na identificação de famílias (variantes) desconhecidas de ransomware. Um método para detectar novas ameaças sem a necessidade de executá-las é a análise estática, que inspeciona o código e a estrutura do software, juntamente com a classificação através de abordagens inteligentes. A Detecção de Novas Famílias de Ransomware (DNFR) pode ser avaliada em um cenário realista e desafiador pela categorização e isolamento de famílias para treinamento e teste. Desta forma, o objetivo desta tese é desenvolver um modelo eficaz de análise estática para a DNFR, que pode ser aplicado em sistemas Windows como uma camada adicional de segurança para verificar os arquivos executáveis no momento do recebimento ou antes de sua execução. A detecção precoce do ransomware é fundamental para reduzir a probabilidade de um ataque bem-sucedido. A abordagem proposta analisa abrangentemente os binários executá- veis, ao extrair e combinar diversas características estruturais, e os distingue entre ransomware ou software benigno empregando um modelo de votação suave que compreende três técnicas de Aprendizado de Máquina: Logistic Regression (LR), Random Forest (RF) e eXtreme Gradient Boosting (XGB). Os resultados para a DNFR demonstraram médias de 97,53% de acurácia, 96,36% de precisão, 97,52% de recall e 96,41% de F-measure. Além disso, a varredura e a predição de amostras individuais levaram uma média de 0,37 segundos. Essa performance indica sucesso na identificação rápida de variantes desconhecidas de ransomware e na adaptabilidade do modelo ao cenário em constante evolução, o que sugere sua aplicabilidade em sistemas de proteção antivírus, mesmo em dispositivos com recursos limitados. Portanto, o método oferece vantagens significativas e pode ajudar desenvolvedores de sistemas de detecção de ransomware na criação de soluções mais resilientes, confiáveis e com rápido tempo de resposta.