เปิดตัว ShieldFS ชุด Driver และ Filesystem ที่ช่วยให้ Windows รอดพ้นจาก Ransomware ได้

ในงาน Black Hat เมื่อสัปดาห์ที่ผ่านมา Andrea Continella และ Federico Maggi นักวิจัยจาก Politecnico di Milano แห่งอิตาลี ได้ออกมาเปิดตัวใ ShieldFS ซึ่งเป็นระบบ Add-on Windows Driver และ Filesystem ที่สามารถตรวจจับ Ransomware และกู้คืนไฟล์ต่างๆ กลับมาได้

ShieldFS Diagram from http://shieldfs.necst.it/continella-shieldfs-2016.pdf

 

นักวิจัยทั้งสองได้ออกมาระบุว่า ShieldFS นี้ถูกทดสอบกับ Ransomware เกินกว่า 12 ตระกูลรวมถึง WannCry และพบว่า ShieldFS สามารถตรวจจับ Ransomware ได้ถึง 97% และมีโอกาสที่จะไม่เกิดการสูญเสียไฟล์ใดๆ เลยในกรณีที่ตรวจจับได้สำเร็จ

ShieldFS นี้ต้องใช้เวลาในการเรียนรู้และสร้าง Model ของกิจกรรมต่างๆ ที่เกิดขึ้นกับระบบ Filesystem ซักระยะหนึ่ง ก่อนที่จะสามารถทำการตรวจจับพฤติกรรมผิดปกติที่เกิดขึ้นโดย Ransomware ได้ โดย ShieldFS จะทำการบล็อคและสร้างชั้นสำหรับป้องกันข้อมูลด้วยวิธีการที่คล้ายคลึงกับการทำ Copy-on-Write ขึ้นมา ทำให้ไฟล์ต้นฉบับไม่ถูกเข้ารหัสแต่อย่างใด และสามารถกู้กลับคืนมาได้เมื่อต้องการ

ทั้งคู่ทำการพัฒนา ShieldFS มาเป็นเวลากว่า 18 เดือน และสามารถตรวจจับ Ransomware ชื่อดังได้หลายตระกูล ไม่ว่าจะเป็น WannaCry, TeslaCrypt, CryptoWall, CryptoLocker และอื่นๆ อีกมากมาย โดยทำการวิเคราะห์ข้อมูลพฤติกรรมของ Filesystem ในระดับ Low-level ของเครื่องคอมพิวเตอร์จำนวน 11 เครื่องที่ใช้งานโดยอาสาสมัคร และทำการวิเคราะห์ I/O Request Packet จำนวน 1,700 ล้านรายการจาก 2,245 Application บนคอมพิวเตอร์เหล่านั้น จากนั้นจึงเปิดให้เหล่า Ransomware เข้ามาทำการโจมตีแล้วเปรียบเทียบพฤติกรรมที่เกิดขึ้นระหว่างสภาพปกติกับระหว่างที่ถูก Ransomware โจมตี

คอมพิวเตอร์เหล่านั้นถูกทดสอบกับตัวอย่างของ Ransomware 383 รายการที่อยู่ในตระกูล Cryptowall, Crowti, Critroni, CryptoDefense และ TeslaCrypt จนสามารถวิเคราะห์รูปแบบพฤติกรรมของ Ransomware ได้ และป้องกันได้ทันท่วงทีนั่นเอง โดยเอกสารงานวิจัยฉบับเต็มสามารถศึกษาได้ที่ http://shieldfs.necst.it/continella-shieldfs-2016.pdf ครับ

ลองดูคลิปการทำงานของ ShieldFS ได้ดังนี้ครับ

 

ที่มา: https://threatpost.com/shieldfs-can-detect-ransomware-recover-files/127121/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Epicor แจกฟรี Whitepaper แนะแนวทางการทำ Digital Transformation สำหรับธุรกิจโรงงานโดยเฉพาะ

สำหรับเหล่าธุรกิจโรงงานและภาคการผลิตที่กำลังมองหาแนวทางการทำ Digital Transformation ด้วยการต่อยอดจากระบบ ERP เพื่อนำเทคโนโลยีใหม่ๆ และข้อมูลเข้ามาใช้เสริมประสิทธิภาพและสร้างนวัตกรรมใหม่ๆ ในการผลิต ทาง Epicor ผู้เชี่ยวชาญด้านระบบ ERP และ MES สำหรับโรงงาน …

Linux เริ่มแก้ไขปัญหา Y2038 ปัญหาคล้ายคลึงกับ Y2K ใน Linux Kernel 4.15 เพิ่มเติม

หากใครทันกับสมัยปัญหา Y2K ที่บรรดาซอฟต์แวร์ต่างๆ นั้นถูกพัฒนาด้วยการระบุจำนวนปีจากการใช้เลขท้าย 2 หลักของค.ศ. เพื่อรองรับการระบุเวลาในช่วง 1900 – 2000 นั้น ปัญหานี้อาจเกิดขึ้นอีกครั้งในปี 2038 จากการระบุเวลาด้วย Signed …