ShieldFS: Τους τελευταίους μήνες, αλλεπάλληλα κύματα επιθέσεων ransomware έχουν χτυπήσει το διαδίκτυο σε παγκόσμιο επίπεδο, σταματώντας τη λειτουργία επιχειρήσεων αλλά υποδομών ζωτικής σημασίας από νοσοκομεία μέχρι τηλεπικοινωνίες.
Έτσι η έρευνα του Andrea Continella και της ομάδα του είναι αρκετά επίκαιρη: Ένα εργαλείο που εντοπίζει τα ransomware αυτόματα, σχεδόν αμέσως, και αποκαθιστά το σύστημά σας από αντίγραφα ασφαλείας πριν οι απατεώνες το κλειδώσουν εντελώς.
Το εργαλείο ονομάζεται ShieldFS, και δεν είναι σχεδιασμένο σαν μια ευρεία πλατφόρμα προστασίας από ιούς. Αντίθετα, σαρώνει μόνο για επιθέσεις ransomware.
Το νέο project φέρεται να επικεντρώνεται μόνο στον εντοπισμό των μοναδικών κρυπτογραφικών συμπεριφορών του ransomware, κάτι που επιτρέπει στο ShieldFS να ανιχνεύει όχι μόνο γνωστούς τύπους του κακόβουλου λογισμικού, αλλά και τυχόν νέες επιθέσεις που δρουν με τρόπο ransomware.
Η ομάδα, από το Politecnico di Milano της Ιταλίας, θα παρουσιάσει το ShieldFS στο συνέδριο ασφαλείας Black Hat που θα πραγματοποιηθεί στο Las Vegas την Τετάρτη.
“Έχουμε αναπτύξει ένα σύνολο δεικτών οι οποίοι μπορούν να χρησιμοποιηθούν για να διασαφηνίσουν πολύ αποτελεσματικά εάν μια διεργασία είναι ransomware ή κάποια καλοήθης διεργασία”, αναφέρει ο Stefano Zanero, ερευνητής ασφάλειας που εργάστηκε στο project.
Επικεντρώνοντας στην ανίχνευση της ίδιας της κρυπτογράφησης, παρά σε μια απλή καταλογογράφηση συγκεκριμένων τύπων ransomware, το ShieldFS μπορεί να προλαμβάνει γνωστά και άγνωστα ransomware.
Οι ερευνητές δοκίμασαν κοινούς τύπους ransomware, όπως το CryptoLocker και το TeslaCrypt, που προσβάλλουν ένα σύστημα κατά τον τυπικό τρόπο – ανιχνεύουν τον δίσκο και κρυπτογραφούν κάθε αρχείο. Στο Black Hat, η ομάδα ετοιμάζεται να παρουσιάσει την άμυνα του εργαλείου ShieldFS ενάντια στο WannaCry, το ransomware που χτύπησε χιλιάδες υπολογιστές το Μάιο.
Όταν το εργαλείο ανιχνεύσει κάποιο ύποπτο νέο πρόγραμμα, εισέρχεται σε μια φάση παρατήρησης για να καθορίσει εάν το πρόγραμμα αυτό είναι ransomware ή όχι.
Κατά τη διάρκεια αυτής της περιόδου, την οποία οι ερευνητές ονομάζουν “σκίαση” ή “shadowing,” το ShieldFS αρχίζει να διατηρεί ένα ημερολόγιο για όλα όσα κάνει το παρεμβατικό πρόγραμμα και για κάθε αρχείο που προσεγγίζει.
Εάν η εφαρμογή καταλήξει στο συμπέρασμα ότι το πρόγραμμα είναι κακόβουλο, θα εμποδίσει την κρυπτογράφηση των αρχείων και θα επαναφέρει αυτόματα όλα τα αρχεία που έχει μολύνει το ransomware από εκτεταμένα αντίγραφα ασφαλείας. Σε περίπτωση που το ShieldFS εντοπίσει κάτι λάθος (false positive) σύμφωνα με τους ερευνητές, δεν θα προκαλέσει παράπλευρες απώλειες.