Breaking News

เปิดตัว ShieldFS ชุด Driver และ Filesystem ที่ช่วยให้ Windows รอดพ้นจาก Ransomware ได้

ในงาน Black Hat เมื่อสัปดาห์ที่ผ่านมา Andrea Continella และ Federico Maggi นักวิจัยจาก Politecnico di Milano แห่งอิตาลี ได้ออกมาเปิดตัวใ ShieldFS ซึ่งเป็นระบบ Add-on Windows Driver และ Filesystem ที่สามารถตรวจจับ Ransomware และกู้คืนไฟล์ต่างๆ กลับมาได้

ShieldFS Diagram from http://shieldfs.necst.it/continella-shieldfs-2016.pdf

 

นักวิจัยทั้งสองได้ออกมาระบุว่า ShieldFS นี้ถูกทดสอบกับ Ransomware เกินกว่า 12 ตระกูลรวมถึง WannCry และพบว่า ShieldFS สามารถตรวจจับ Ransomware ได้ถึง 97% และมีโอกาสที่จะไม่เกิดการสูญเสียไฟล์ใดๆ เลยในกรณีที่ตรวจจับได้สำเร็จ

ShieldFS นี้ต้องใช้เวลาในการเรียนรู้และสร้าง Model ของกิจกรรมต่างๆ ที่เกิดขึ้นกับระบบ Filesystem ซักระยะหนึ่ง ก่อนที่จะสามารถทำการตรวจจับพฤติกรรมผิดปกติที่เกิดขึ้นโดย Ransomware ได้ โดย ShieldFS จะทำการบล็อคและสร้างชั้นสำหรับป้องกันข้อมูลด้วยวิธีการที่คล้ายคลึงกับการทำ Copy-on-Write ขึ้นมา ทำให้ไฟล์ต้นฉบับไม่ถูกเข้ารหัสแต่อย่างใด และสามารถกู้กลับคืนมาได้เมื่อต้องการ

ทั้งคู่ทำการพัฒนา ShieldFS มาเป็นเวลากว่า 18 เดือน และสามารถตรวจจับ Ransomware ชื่อดังได้หลายตระกูล ไม่ว่าจะเป็น WannaCry, TeslaCrypt, CryptoWall, CryptoLocker และอื่นๆ อีกมากมาย โดยทำการวิเคราะห์ข้อมูลพฤติกรรมของ Filesystem ในระดับ Low-level ของเครื่องคอมพิวเตอร์จำนวน 11 เครื่องที่ใช้งานโดยอาสาสมัคร และทำการวิเคราะห์ I/O Request Packet จำนวน 1,700 ล้านรายการจาก 2,245 Application บนคอมพิวเตอร์เหล่านั้น จากนั้นจึงเปิดให้เหล่า Ransomware เข้ามาทำการโจมตีแล้วเปรียบเทียบพฤติกรรมที่เกิดขึ้นระหว่างสภาพปกติกับระหว่างที่ถูก Ransomware โจมตี

คอมพิวเตอร์เหล่านั้นถูกทดสอบกับตัวอย่างของ Ransomware 383 รายการที่อยู่ในตระกูล Cryptowall, Crowti, Critroni, CryptoDefense และ TeslaCrypt จนสามารถวิเคราะห์รูปแบบพฤติกรรมของ Ransomware ได้ และป้องกันได้ทันท่วงทีนั่นเอง โดยเอกสารงานวิจัยฉบับเต็มสามารถศึกษาได้ที่ http://shieldfs.necst.it/continella-shieldfs-2016.pdf ครับ

ลองดูคลิปการทำงานของ ShieldFS ได้ดังนี้ครับ

 

ที่มา: https://threatpost.com/shieldfs-can-detect-ransomware-recover-files/127121/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบช่องโหว่ 0-Day ใน jQuery Plugin มีสอนใน Youtube มาแล้วหลายปีและแอปจำนวนหลายพันได้รับผลกระทบ

Larry Cashdollar นักวิจัยจาก Akamai ได้คนบนช่องโหว่บนปลั้กอิน jQuery File Upload ซึ่งพบว่าสามารถทำให้เกิดการอัปโหลด Web Shell และรันคำสั่งบนเซิร์ฟเวอร์ได้ ที่น่าตกใจคือช่องโหว่เกิดขึ้นมากว่า 8 ปีแล้วและมีวีดีโอสอนบนยูทูปมากว่า …

Microsoft เตรียมแพตช์ Spectre V2 บน Windows 10 โดยไม่กระทบประสิทธิภาพเครื่อง

Spectre Variant 2 ถือเป็นปัญหาที่คาราคาซังของ Microsoft เพราะก่อนหน้านี้เคยออกแพตช์มาแก้ไขแต่กลายเป็นว่าทำให้เครื่องช้าลง 5-30% เลยทีเดียว ซึ่งต้องขอบคุณ Google ที่คิดค้นวิธีบรรเทาปัญหาระดับซอฟต์แวร์ที่ชื่อว่า ‘Retpoline’ และในที่สุด Microsoft ก็ได้ยอมนำวิธีนี้ไปใช้และคาดว่าจะปล่อยมาให้ผู้ใช้ …