Naukowcy z Uniwersytetu w Mediolanie zaprezentowali oprogramowanie, które wykrywa ransomware i odzyskuje zaszyfrowane przez nie pliki. Pokaz możliwości programu odbył się podczas konferencji Black Hat.
Oprogramowanie o nazwie ShieldFS wykorzystuje kilka mechanizmów do odróżnienia ransomware’u od innego oprogramowania. Na przykład ransomware skanuje olbrzymią liczbę plików i nadaje im własne nazwy. W krótkim czasie wykonuje też wiele operacji odczytu/zapisu. ShieldFS sprawdza też pamięć komputera pod kątem obecności w niej funkcji kryptograficznych. Jak zapewniają badacze, dzięki połączeniu różnych metod uzyskano minimalny odsetek fałszywych alarmów.
Dzięki temu, że ransomware zachowuje się inaczej niż inne programy, włoscy naukowcy byli w stanie wykorzystać maszynowe uczenie oraz dane z 5 różnych rodzin ransomware. Użyli wirtualnych maszyn, na których ich program samodzielnie uczył się odróżniania ransomware’u od programów, których używano na 11 komputerach niezawierających szkodliwego kodu. Uzyskano w ten sposób próbkę aktywności ponad 2000 nieszkodliwych programów.
Podczas wspomnianego pokazu możliwości programu ShieldFS miało poradzić sobie z infekcją ransomware’em, z którym wcześniej nie miało do czynienia. Program był w stanie m.in. powtrzymać działanie WannaCry. Działalność szkodnika została wykryta po tym, jak zdążył on zaszyfrować zaledwie 133 pliki. ShieldFS wyłączył proces ransomware’u i odzyskał wszystkie zaszyfrowane pliki. Było to możliwe, gdyż oprogramowanie monitoruje wszelkie pliki do których dostęp uzyskał niezaufany proces.
W czasie testów ShieldFS zmierzyło się z 305 rodzajami ransomware’u pochodzącymi z 11 różnych rodzin, w tym z 7 rodzin, z którymi program zabezpieczający nie miał wcześniej do czynienia. Na zaatakowanych wirtualnych maszynach nie doszło do utraty żadnych plików. Nawet tam, gdzie ShieldFS nie wykrył ransomware’u – czyli w 7 z 305 testów – pliki udało się odzyskać.
Główną wadą ShieldFS jest fakt, że, podobnie jak oprogramowanie antywirusowe, zużywa on zasoby maszyny. Jego twórcy zapewniają jednak, że wydajność systemu na którym uruchomiono program zabezpieczający pozostaje na akceptowalnym poziomie.
ShieldFS ma postać sterownika dla Windows. Obecnie słabo sobie radzi jeszcze z ransomware, które działa powoli oraz ze szkodliwym kodem, który dla każdego szyfrowanego pliku tworzy osobny proces. Badacze mówią jednak, że wciąż rozwijają swój program, obecnie znajduje się on w fazie badawczej i nie jest gotowy do skomercjalizowania. Złożyli też w USA wniosek patentowy chroniący ich pomysł.
0 komentarzy