ShieldFS broni Windows przed szantażystami

[KopalniaWiedzy.pl 314]

Naukowcy z Uniwersytetu w Mediolanie zaprezentowali oprogramowanie, które wykrywa ransomware i odzyskuje zaszyfrowane przez nie pliki. Pokaz możliwości programu odbył się podczas konferencji Black Hat.

Oprogramowanie o nazwie ShieldFS wykorzystuje kilka mechanizmów do odróżnienia ransomware'u od innego oprogramowania. Na przykład ransomware skanuje olbrzymią liczbę plików i nadaje im własne nazwy. W krótkim czasie wykonuje też wiele operacji odczytu/zapisu. ShieldFS sprawdza też pamięć komputera pod kątem obecności w niej funkcji kryptograficznych. Jak zapewniają badacze, dzięki połączeniu różnych metod uzyskano minimalny odsetek fałszywych alarmów.

Dzięki temu, że ransomware zachowuje się inaczej niż inne programy, włoscy naukowcy byli w stanie wykorzystać maszynowe uczenie oraz dane z 5 różnych rodzin ransomware. Użyli wirtualnych maszyn, na których ich program samodzielnie uczył się odróżniania ransomware'u od programów, których używano na 11 komputerach niezawierających szkodliwego kodu. Uzyskano w ten sposób próbkę aktywności ponad 2000 nieszkodliwych programów.

Podczas wspomnianego pokazu możliwości programu ShieldFS miało poradzić sobie z infekcją ransomware'em, z którym wcześniej nie miało do czynienia. Program był w stanie m.in. powtrzymać działanie WannaCry. Działalność szkodnika została wykryta po tym, jak zdążył on zaszyfrować zaledwie 133 pliki. ShieldFS wyłączył proces ransomware'u i odzyskał wszystkie zaszyfrowane pliki. Było to możliwe, gdyż oprogramowanie monitoruje wszelkie pliki do których dostęp uzyskał niezaufany proces.

W czasie testów ShieldFS zmierzyło się z 305 rodzajami ransomware'u pochodzącymi z 11 różnych rodzin, w tym z 7 rodzin, z którymi program zabezpieczający nie miał wcześniej do czynienia. Na zaatakowanych wirtualnych maszynach nie doszło do utraty żadnych plików. Nawet tam, gdzie ShieldFS nie wykrył ransomware'u – czyli w 7 z 305 testów – pliki udało się odzyskać.
Główną wadą ShieldFS jest fakt, że, podobnie jak oprogramowanie antywirusowe, zużywa on zasoby maszyny. Jego twórcy zapewniają jednak, że wydajność systemu na którym uruchomiono program zabezpieczający pozostaje na akceptowalnym poziomie.

ShieldFS ma postać sterownika dla Windows. Obecnie słabo sobie radzi jeszcze z ransomware, które działa powoli oraz ze szkodliwym kodem, który dla każdego szyfrowanego pliku tworzy osobny proces. Badacze mówią jednak, że wciąż rozwijają swój program, obecnie znajduje się on w fazie badawczej i nie jest gotowy do skomercjalizowania. Złożyli też w USA wniosek patentowy chroniący ich pomysł.

« powrót do artykułu

[kamil12 0]

Jeśli chodzi o marnowanie zasobów sprzętowych na dodatkowe mechanizmy ochrony, to nie lepiej już zastosować coś na modłę "security by compartmentalization" (np. https://www.qubes-os.org/)? Oczywiście nie twierdzę, że taki scenariusz powinien zostać wymuszony na użytkownikach przez Microsoft, w końcu Windows ma być systemem "user friendly"

[thikim 117]

Mam nadzieję że to nie jest tylko reklama.

[Gość Astro]

 

 

Mam nadzieję

 

Czyją matką jest nadzieja?

[thikim 117]

Głupich.

Zatem tłumacząc po Twojemu: miałem nadzieję czyli Twoją matkę

Tzn. ja nie miałem, ale Ty to napisałeś

Czyli nie mnie obrażasz ale swoją matkę. Zastanów się nad sobą.

Edytowane 3 sierpnia 2017 przez thikim

[Gość Astro]

Też Cię kocham Thikim,

Edytowane 3 sierpnia 2017 przez Astro