日前在美国举办的2017年黑帽大会有研究人员有研究人员发布了可侦测和阻断勒索软件加密的安全防护技术。
这个名为ShieldFS的项目来自米兰理工大学教授安德里亚团队, 主要功能就是拦截勒索软件并及时恢复文件。
ShieldFS 可以监控和记录文件系统的活动用来侦测勒索软件,当检测到异常活动时则会及时终止对应的操作。
勒索软件通常在感染设备后就会开始复制文件并加密写入, 最后以加密的文件替代掉原始的文件来进行勒索。
在这个过程中勒索软件需要占用系统资源大量的进行复制和写入操作, 在此过程中ShieldFS则会侦测到异常
。
安德里亚教授称该项目除了可以侦测到复制并写入操作外, 还会寻找内存中是否存在某些行为可以的进程等。
例如如果内存中出现区块加密密钥计划表, 那么说明存在勒索软件正在工作并等待释放加密密钥来加密文件。
当ShieldFS 侦测到这些异常后会启动名为实时自我修复虚拟文件系统的技术来出手干预勒索软件的加密活动
。
首先ShieldFS会发出信号给操作系统要求停止工作, 然后会通过自我修复虚拟文件系统拦截复制并写入操作
。
安德里亚教授称ShieldFS通过软件的操作行为来判断是否异常, 而不是通过病毒的哈希值等特征码进行对比。
因此相对传统安全软件来说更容易侦测从未发现过的勒索软件, 对于迭代快速的勒索软件来说侦测效果更佳。
在实际测试中使用 WannaCry 勒索软件作为测试样本时发现,WannaCry在加密200个文件时就已被检测到。
研究团队称目前这项技术仍然在完善和开发中, 待开发完成后即会发布可实际操作的版本供用户测试和使用。
