Pametni alat koji bi mogao zaustaviti ransomware

Ransomware-napadi postaju sve učestaliji, a prema nekim procjenama, nećemo ih se tako lako riješiti.

tri vijesti o kojima se priča Upozorenje znanstvenika Amazonska prašuma prelazi u stanje koje nije viđeno milijunima godina Pomno ih prate Poslali miševe u svemir, a ono što se dogodilo moglo bi biti ključno za budućnost čovječanstva Trljaju se ruke Kinezi od Nvidije naručili preko 2 milijuna čipova: Američka tvrtka u pregovorima o povećanju proizvodnje

Poseban je problem kad ransomware-napad pogodi kakav važan sustav poput bolnice, javnog prijevoza ili telekoma.

Unatoč tome što se tvrtke koje proizvode antivirusne programe trude što prije prepoznati ransomware i zaštititi svoje korisnike od takvih napada, još nitko nije uspio u potpunosti ih spriječiti.

Međutim, grupa talijanskih istraživača na čelu s Andreom Continellom napravila je drugu najbolju stvar: osmislila je pametni alat koji automatski prepoznaje ransomware i gotovo u stvarnom vremenu koristi sigurnosnu kopiju podataka s računala prije nego što ga ransomware zaključa.

Alat se zove ShieldFS i fokusira se na identifikaciji jedinstvenih kriptografskih obrazaca koje koristi ransomware. To omogućuje ShieldFS-u da prepozna već poznate inačice ransomwarea, ali i nove, još neidentificirane.

Kad ShieldFS otkrije sumnjivi program, pokreće promatračku fazu kako bi mogao otkriti da li je zaista sumnjivi program ransomware. Tijekom tog perioda, dok radi u sjeni, ShieldFS bilježi sve što sumnjivi program radi i svaki dokument kojem pristupi. Ako zaključi da je program štetan, blokirat će njegovo daljnje pokretanje i automatski obnoviti sve dokumente koje je program dotaknuo.

Istraživači koji su ShieldFS predstavili na konferenciji BlackHat u Las Vegasu ističu da čak i ako se pojave lažno pozitivni rezultati (kad program nije maliciozan, iako ga je kao takav prepoznao), neće doći do oštećivanja dokumenata. Dovoljno je označiti lažno pozitivni program kao u redu i ponovno ga pokrenuti.

Izradu ShieldFS-a omogućila je činjenica da se ransomware ponaša na jedinstven način kad uđe u sustav – ostavlja svojevrstan otisak prsta i trag iza sebe.

Glavni je nedostatak ShieldFS-a što štiti samo od klasičnih ransomwarea koji zaključavaju jedan po jedan dokument. Nemoćan je pred ransomwareom koji zaključava cijelo računalo, ali ne dira pojedine dokumente. Tako bi, recimo, računalo zaštitio od CryptoLockera, ali ne od NotPetya.

Zasad je ShieldFS samo istraživački projekt i nije dostupan za korištenje, ali njegovi autori planiraju učiniti kod dostupnim drugima, koji onda na temelju toga mogu izraditi svoje komercijalne alate.

Dok se to ne dogodi, još uvijek je najbolja zaštita od ransomwarea redovito ažuriranje operativnog sustava i stvaranje sigurnosnih kopija kako bi u slučaju zaraze šteta bila minimalna.