شناسایی 97 درصد باج‌افزارها با امکان بازگردانی فایل‌های رمز شده

گروهی از محققان ایتالیایی ابزاری مبتنی بر سیستم فایل با عنوان ShieldFS ارائه کرده‌اند که بر طبق بررسی‌های انجام شده توسط آنها قادر به شناسایی 97 درصد باج‌افزارهاست.

به گزارش شرکت مهندسی شبکه گستر، این ابزار با بکارگیری تکنیک‌هایی همچون Shadowing و Copy-on-Write و تهیه نسخه‌ای از فایل‌ها امکان بازگردانی فایل را حتی پس از رمز شدن آن نیز فراهم می‌کند.

این گروه در کنفرانس Black Hat این افزونه سیستم فایلی را معرفی کردند.

جدول زیر آمار شناسایی‌هایی ShieldFS را نشان می‌دهد:

ShieldFS ابتدا فعالیت‌های سیستم فایل را آموخته و الگویی از آنها ایجاد می‌کند. در ادامه رفتارهای مشکوک به باج‌افزار را که مغایر با الگوی ساخته شده هستند شناسایی می‌کند.

در صورت کشف یک برنامه مشکوک، ShieldFS وارد مرحله رصد شده و هر کدام از فعالیت‌های آن را مورد بررسی قرار می دهد. چنانچه که ShieldFS به این نتیجه برسد که برنامه مخرب است، کد مسدود شده و نسخه پشتیبان بازگردانده می‌شود.

ShieldFS نتیجه 18 ماه کار این محققان است. هر چند که بر اساس آمار این محققان ShieldFS قادر به شناسایی باج‌افزار Petya نبوده است.

در طی دو سال گذشته بسیاری از شرکت‌های امنیتی نیز فناوری‌هایی با اهداف مشابه را در محصولات خود لحاظ کرده‌اند.

ارائه این محققان در کنفرانس Black Hat در اینجا قابل دریافت و مطالعه است.