ShieldFS може да спре инфекциите с рансъмуер и да възстанови щетите

27.07.2017

ShieldFS-Ransomware-Scanner

 

Италиански експерти по киберсигурност са разработили drop-in драйвер за Windows и къстомизирана файлова система, които могат да откриват признаци на инфекция с рансъмуер, да спрат всякакви злонамерени действия и дори да възстановят предишното състояние на всички криптирани файлове.

Новият проект, наречен ShieldFS, е дело на седем изследователя от университета Politecnico di Milano University.

ShieldFS функционира като скенер за COW и криптиращи операции

ShieldFS е сложен механизъм, предназначен за откриване на Copy-On-Write (COW) операции.

При COW операциите дадено приложение записва файл, копира го, модифицира го и след това замества оригиналния файл. Повечето от днешните видове рансъмуери разчитат на COW операции, като вземат първоначалния файл, криптират съдържанието му и заместват оригинала.

ShieldFS е проектиран не само за откриване на COW операции, но и за търсене на използвани симетрични крипто приоми, често използвани в процеса на криптирането на файлове.

Когато ShieldFS открие събитие, което отговаря на тези критерии, той прави проверки с вътрешни поведенчески модели, които различават нормалните процеси от тези на злонамерения рансъмуер.

Според създателите на ShieldFS в момента той е оборудван с адаптивни модели за 2 245 легитимни приложения, а това му позволява да дава много малко фалшиво положителни резултати, които могат да блокират легитимни процеси.

ShieldFS използва самопоправяща се файлова система за възстановяването на криптирани файлове

Ако ShieldFS открие рансъмуер, той сигнализира на операционната система да спре процеса и използва къстомизирана файлова система, за да обърне злонамерените действия на рансъмуера.

Това е технически възможно, защото ShieldFS е пакетиран като drop-in драйвер, който инсталира къстомизирана виртуална файлова система, предназначена да припокрива COW операциите и да съхранява копия на оригиналните файлове за кратко време, позволявайки му да възстанови определено количество файлове.

Може да се каже, че самопоправящата се файлова система на ShieldFS функционира в реално време като алтернатива на копираните дялове, които повечето рансъмуери изтриват, след като криптират файловете на жертвата, предотвратявайки възстановяването на файловете чрез специализиран софтуер за възстановяване на данни.

Експертите все още работят по проекта, но планират съвсем скоро официално да пуснат функционална версия на ShieldFS.

Искате ли да коментирате тази статия? 

Сподели

Последни новини

15.12.2017

Хакер премахнал малуер от сайт на Netgear, компанията не успяла 2 години

Анонимен хакер е премахнал малуер от сайта на Netgear, след като компанията не успяла да изчисти инфекцията повече от две години.

15.12.2017

Хакер ограби църква в Северна Ирландия

Хакерът казал на свещеника, че църковният компютър трябва да бъде достъпен от разстояние, за да поправи проблем с интернета.

15.12.2017

Synaptics ще премахне кийлогър от драйверите си

Компанията е решила да премахне функционалността на кийлогър от продуктите си.

Запишете се за нашия онлайн бюлетин!!