Jump to content
¯\_( ツ)_/¯
  • ВНИМАНИЕ!
  • XAKEP.BG и TAD GROUP не подкрепят незаконните дейности. Моля, запознайте се с условията за ползване на този форум!

Recommended Posts

ShieldFS-Ransomware-Scanner

 

Италиански експерти по киберсигурност са разработили drop-in драйвер за Windows и къстомизирана файлова система, които могат да откриват признаци на инфекция с рансъмуер, да спрат всякакви злонамерени действия и дори да възстановят предишното състояние на всички криптирани файлове.

Новият проект, наречен ShieldFS, е дело на седем изследователя от университета Politecnico di Milano University.

ShieldFS функционира като скенер за COW и криптиращи операции

ShieldFS е сложен механизъм, предназначен за откриване на Copy-On-Write (COW) операции.

При COW операциите дадено приложение записва файл, копира го, модифицира го и след това замества оригиналния файл. Повечето от днешните видове рансъмуери разчитат на COW операции, като вземат първоначалния файл, криптират съдържанието му и заместват оригинала.

ShieldFS е проектиран не само за откриване на COW операции, но и за търсене на използвани симетрични крипто приоми, често използвани в процеса на криптирането на файлове.

Когато ShieldFS открие събитие, което отговаря на тези критерии, той прави проверки с вътрешни поведенчески модели, които различават нормалните процеси от тези на злонамерения рансъмуер.

Според създателите на ShieldFS в момента той е оборудван с адаптивни модели за 2 245 легитимни приложения, а това му позволява да дава много малко фалшиво положителни резултати, които могат да блокират легитимни процеси.

ShieldFS използва самопоправяща се файлова система за възстановяването на криптирани файлове

Ако ShieldFS открие рансъмуер, той сигнализира на операционната система да спре процеса и използва къстомизирана файлова система, за да обърне злонамерените действия на рансъмуера.

Това е технически възможно, защото ShieldFS е пакетиран като drop-in драйвер, който инсталира къстомизирана виртуална файлова система, предназначена да припокрива COW операциите и да съхранява копия на оригиналните файлове за кратко време, позволявайки му да възстанови определено количество файлове.

Може да се каже, че самопоправящата се файлова система на ShieldFS функционира в реално време като алтернатива на копираните дялове, които повечето рансъмуери изтриват, след като криптират файловете на жертвата, предотвратявайки възстановяването на файловете чрез специализиран софтуер за възстановяване на данни.

Експертите все още работят по проекта, но планират съвсем скоро официално да пуснат функционална версия на ShieldFS.

English version of this article

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

За да посещавате този уебсайт е необходимо да се съгласите с условията!