Các nhà nghiên cứu tiết lộ phương pháp phát hiện và khôi phục ransomware cho ổ SSD

Bảo mật ở cấp phần sụn.

Hướng tới tương lai Một nhóm các nhà nghiên cứu đã phát minh ra một phương pháp mới

để bảo vệ SSD khỏi các cuộc tấn công ransomware. Nó có thể phát hiện ransomware, ngăn

chặn nó theo dõi và thậm chí khôi phục dữ liệu bị đánh cắp chỉ trong vài giây. Chi phí sẽ chỉ

là một sự gia tăng nhỏ về độ trễ của SSD.

Đăng ký đã nói chuyện với các nhà nghiên cứu, đến từ Đại học Inha, Viện Khoa học & Công nghệ

Daegu Gyeongbuk (DGIST), Đại học Central Florida (UCF) và Cục An ninh mạng tại Đại học Ewha

Womans (EWU). Hệ thống có tên SSD-Insider, được cho là chính xác gần như 100% và đã được

thử nghiệm trên ransomware trong thế giới thực.

SSD-Insider hoạt động bằng cách nhận ra một số người bảo vệ nhất định trong hoạt động của SSD

được coi là dấu hiệu của ransomware. “Để nhận ra hoạt động của ransomware bằng cách chỉ xem

việc phân phối các tiêu đề yêu cầu IO, chúng tôi đã chú ý đến hành vi rất độc đáo của ransomware,

đó là ghi đè”, đọc bài nghiên cứu của nhóm đề xuất SSD-Insider. Nó chỉ ra đặc biệt hành vi của

ransomware như WannaCry, Mole và CryptoShield.

Nhà nghiên cứu DaeHun Nyang của Inha nói với The Register: “Khi hoạt động của ransomware được

phát hiện bởi SSD-Insider ++, đầu vào / đầu ra cho bộ lưu trữ sẽ bị tạm dừng. “Trong thời gian tạm ngưng,

người dùng có thể gỡ bỏ quá trình ransomware.”

Sau khi ngăn chặn ransomware, SSD-Insider có thể khôi phục các tệp bị mất do các thuộc tính duy nhất

của SSD. “SSD luôn giữ các phiên bản cũ của dữ liệu đã bị ghi đè bởi dữ liệu mới cho đến khi chúng bị

xóa vĩnh viễn bởi [Garbage Collector],” bài báo đề cập. “SSD-Insider tận dụng khả năng sao lưu tích hợp

của SSD. SSD-Insider theo dõi các phiên bản cũ của dữ liệu bên trong SSD và không bao giờ xóa chúng

cho đến khi thuật toán phát hiện ransomware xác nhận rằng các phiên bản mới không bị ảnh hưởng bởi

ransomware.”

Điều thực sự độc đáo về SSD-Insider là nó hoạt động ở cấp phần sụn. Nhóm đã thiết kế SSD-Insider theo

cách này để giúp những người dùng không cài đặt phần mềm chống ransomware trên hệ thống của họ.

Bài báo cũng đề cập đến những điểm yếu của các phương pháp phần mềm truyền thống, như khả năng của

một số ransomware để chống lại phần mềm chống vi-rút. SSD-Insider cũng được thiết kế để có ít chi phí CPU

hơn so với phần mềm chống ransomware. Bản tóm tắt của bài báo cho biết chi phí phần mềm của SSD-Insider

chỉ khoảng 147 đến 254 nano giây.

Trong thử nghiệm với WannaCry và các ransomware khác, SSD-Insider không bao giờ bỏ lỡ bất kỳ hoạt

động nào của ransomware và hiếm khi phát hiện dương tính giả. Trong tất cả các tình huống đã thử nghiệm,

Tỷ lệ Từ chối Sai (FRR) là 0 phần trăm. Tỷ lệ Chấp nhận Sai (FAR) gần như bằng không. Các nhà nghiên

cứu viết: “Chúng tôi báo cáo rằng tiếng ồn nền tồi tệ nhất về FRR đến từ các công việc sử dụng nhiều IO

và CPU”. “Về FAR, kịch bản tồi tệ nhất chủ yếu đến từ kiểu ghi đè nặng, chẳng hạn như các ứng dụng

DataWiping và Database.”

Một nhà nghiên cứu chống vi-rút đã nói với The Register một phương pháp như SSD-Insider không phải là

điều dễ hiểu. Jake Moore của ESET UK cho biết: “Chức năng này thúc đẩy sự chậm trễ trong việc xóa, có

nghĩa là các nhà phát triển ransomware sẽ và vẫn có thể bỏ qua tính năng này với kiến thức về cách thức

hoạt động của thuốc giải độc này”. Trong mọi trường hợp, người dùng vẫn nên sao lưu dữ liệu của mình.

Nhật Đức | Theo : TechSpot.com