Impact Level : information
Affected Platform : Windows Platform
Conclusion : นักวิจัยจาก Politecnico di Milano ของอิตาลีได้นำเสนอเครื่องมือที่ใช้ตรวจจับ ransomeware และการกู้คืน file ที่ถูกเข้ารหัสจาก ransomeware ที่มีชื่อว่า ShieldFS
ShieldFS จะทำการจดจำและสร้าง models พฤติกรรมของ filesystem ที่เกิดจากใช้งานปกติ และมันยังสามารถตรวจหา ransomeware จากพฤติกรรมที่เกิดขึ้นมาเปรียบเทียบกับ models
ที่ทำการสร้างขึ้นมาก่อนหน้า หากตรวจพบพฤติกรรมของ ransomeware เครื่องมือ ShieldFS จะ block การทำงานของ ransomeware และทำการกู้ไฟล์ที่ถูกเข้ารหัส
Copy-on-Write (COW) เป็นเทคนิคทางโปรแกรมมิ่งที่ ShieldFS นำมาใช้ในการกู้ไฟล์ที่ถูกเข้ารหัส โดยเป็นเทคนิคที่อนุญาตให้ระบบปฏิบัติการแชร์ข้อมูลที่กำลังถูกประมวลผลให้กับโปรเซสอื่น
นักวิจัยได้ทำการทดสอบ ShieldFS กับ malware หลายๆตัวที่กำลังแพร่ระบาดอยู่ในขณะนี้ ซึ่งรวมไปถึง WannaCry, TeslaCrypt, CryptoWall, CryptoLocker ด้วยผลการทดสอบเผยให้เห็นว่า ShieldFS สามารถตรวจจับ malware ที่ได้นำมาทำการทดลองได้สำเร็จและสามารถกู้ไฟล์ข้อมูลที่ถูกเข้ารหัสได้ 97 เปอร์เซ็นต์
ที่มา : THREATPOST
You must be logged in to post a comment.