เปิดตัว ShieldFS ชุด Driver และ Filesystem ที่ช่วยให้ Windows รอดพ้นจาก Ransomware ได้

ในงาน Black Hat เมื่อสัปดาห์ที่ผ่านมา Andrea Continella และ Federico Maggi นักวิจัยจาก Politecnico di Milano แห่งอิตาลี ได้ออกมาเปิดตัวใ ShieldFS ซึ่งเป็นระบบ Add-on Windows Driver และ Filesystem ที่สามารถตรวจจับ Ransomware และกู้คืนไฟล์ต่างๆ กลับมาได้

ShieldFS Diagram from http://shieldfs.necst.it/continella-shieldfs-2016.pdf

 

นักวิจัยทั้งสองได้ออกมาระบุว่า ShieldFS นี้ถูกทดสอบกับ Ransomware เกินกว่า 12 ตระกูลรวมถึง WannCry และพบว่า ShieldFS สามารถตรวจจับ Ransomware ได้ถึง 97% และมีโอกาสที่จะไม่เกิดการสูญเสียไฟล์ใดๆ เลยในกรณีที่ตรวจจับได้สำเร็จ

ShieldFS นี้ต้องใช้เวลาในการเรียนรู้และสร้าง Model ของกิจกรรมต่างๆ ที่เกิดขึ้นกับระบบ Filesystem ซักระยะหนึ่ง ก่อนที่จะสามารถทำการตรวจจับพฤติกรรมผิดปกติที่เกิดขึ้นโดย Ransomware ได้ โดย ShieldFS จะทำการบล็อคและสร้างชั้นสำหรับป้องกันข้อมูลด้วยวิธีการที่คล้ายคลึงกับการทำ Copy-on-Write ขึ้นมา ทำให้ไฟล์ต้นฉบับไม่ถูกเข้ารหัสแต่อย่างใด และสามารถกู้กลับคืนมาได้เมื่อต้องการ

ทั้งคู่ทำการพัฒนา ShieldFS มาเป็นเวลากว่า 18 เดือน และสามารถตรวจจับ Ransomware ชื่อดังได้หลายตระกูล ไม่ว่าจะเป็น WannaCry, TeslaCrypt, CryptoWall, CryptoLocker และอื่นๆ อีกมากมาย โดยทำการวิเคราะห์ข้อมูลพฤติกรรมของ Filesystem ในระดับ Low-level ของเครื่องคอมพิวเตอร์จำนวน 11 เครื่องที่ใช้งานโดยอาสาสมัคร และทำการวิเคราะห์ I/O Request Packet จำนวน 1,700 ล้านรายการจาก 2,245 Application บนคอมพิวเตอร์เหล่านั้น จากนั้นจึงเปิดให้เหล่า Ransomware เข้ามาทำการโจมตีแล้วเปรียบเทียบพฤติกรรมที่เกิดขึ้นระหว่างสภาพปกติกับระหว่างที่ถูก Ransomware โจมตี

คอมพิวเตอร์เหล่านั้นถูกทดสอบกับตัวอย่างของ Ransomware 383 รายการที่อยู่ในตระกูล Cryptowall, Crowti, Critroni, CryptoDefense และ TeslaCrypt จนสามารถวิเคราะห์รูปแบบพฤติกรรมของ Ransomware ได้ และป้องกันได้ทันท่วงทีนั่นเอง โดยเอกสารงานวิจัยฉบับเต็มสามารถศึกษาได้ที่ http://shieldfs.necst.it/continella-shieldfs-2016.pdf ครับ

ลองดูคลิปการทำงานของ ShieldFS ได้ดังนี้ครับ

 

ที่มา: https://threatpost.com/shieldfs-can-detect-ransomware-recover-files/127121/




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสามารถทำการโจมตีแบบ GPS Spoofing ได้สำเร็จกับระบบนำทาง

นักวิจัยจากมหาวิทยาลัย Virginia Tech, มหาวิทยาลัย Electronic Science และ Technology of China และทีมวิจัยของ Microsoft ได้ร่วมกันค้นพบวิธีการโจมตีแบบ GPS Spoofing …

เชิญร่วมงานสัมมนา “Human Centric Innovation: Co-creation for Success” โดย Fujitsu และ Oracle

Fujitsu และ Oracle ร่วมกันจัดงานสัมมนา Human Centric Innovation: Co-creation for Success เพื่ออัปเดตเทคโนโลยีแพลตฟอร์ม Fujitsu SPARC M12 สำหรับการประมวลผลข้อมูลปริมาณมหาศาล …