Вычисляет за секунды: ученые создали безотказную защиту от вирусов-вымогателей
SSD-Insider ++ восстанавливает зашифрованные данные, однако снижает производительность жестких дисков. Пока никто не хочет внедрять прошивку в свои устройства
Ученые из США и Южной Кореи придумали надежную систему защиты SSD-дисков, делающую их неуязвимыми для шифрующих вирусов. О таком изобретении сообщило издание The Register.
Твердотельные накопители (Solid-State Drive или SSD) служат быстрым и надежным хранилищем информации на современных компьютерах. Чаще всего они используют флеш-память типа NAND, большой объем которой обеспечивает большое количество ячеек в двумерной матрице полупроводников. Именно на ее основе разработали прошивку SSD-Insider ++, которая позволяет мгновенно восстанавливать зашифрованные данные.
Дэхун Ньянг из Женского университета Ихва обратил внимание, что многие пользователи не используют антивирусные программы для защиты от вредоносного софта, шифрующего данные и вымогающего деньги за ключ дешифровки. Он решил создать твердотельные накопители, которые будут изначально защищены от таких угроз.
"К счастью, мой коллега Сонджин Ли работал над флэш-памятью NAND, и он знал, что восстановить данные будет легко, учитывая отложенное удаление флэш-памяти NAND", — объяснил ученый.
SSD-Insider ++ ищет шаблоны активности жестких дисков, которые соответствуют атакам вирусов-шифровальщиков и останавливает их. Механизм защиты прямо внутри устройства запускает аппаратное обеспечение контроллера, благодаря этому процесс происходит абсолютно автономно. После обнаружения угрозы, система приостанавливает ввод и вывод информации в хранилищ, а также предупреждает пользователя, который должен удалить вредоносную программу.
Как подчеркивают разработчики, система позволяет не только находить и выявлять вирусы, но и отменять любой нанесенный ущерб. SSD-Insider ++ не сохраняет данные, а использует механизм накопителя, который хранит старые версии данных, чтобы скрыть необычный способ обновления флэш-памяти NAND. Таким образом резервные копии за считанные секунды заменяют зашифрованные файлы.
Как показали лабораторные эксперименты, прототип SSD-Insider ++ обнаруживает 100% вирусных программ и восстанавливает данные спустя 10 секунд после начала шифрования и без потерь. При этом стоимость задержки диска выросла всего на 12,8–17,3%, а пропускная способность — максимум на 8%.
"Мы оценили SSD-Insider ++ с использованием реальных и собственных программ-вымогателей, в том числе WannaCry и Mole, во время работы различных фоновых приложений. Наша реализация SSD-Insider ++ имеет 100-процентную точность обнаружения с почти 0% FRR / FAR [Коэффициент ложного отклонения и Коэфициэнт ложного приема] в большинстве случаев с задержкой обнаружения менее 10 секунд", — заявили ученые.
Запуск дополнительных функций SSD-Insider ++, таких как обнаружение угроз на основе энтропии, требует больших ресурсов, в том числе высокопроизводительных процессоров или аппаратных ускорителей, однако разработчики уверены, что это не станет большим недостатком во времена, когда жесткие диски активно развиваются. Несмотря на перспективы технологии, никто из производителей пока не хочет внедрять ее в своих жестких дисках.
"Мы обратились к нескольким компаниям здесь, в Корее, но пока не нашли ни одной компании, которая бы применила эту технологию", — отметил Дэхун Ньянг.
Ранее писали, как хакер пытался зашифровать данные крупных компаний, но выдал себя во время переписки в Telegram. Он предложил вознаграждение в миллион долларов сотруднику, который оказался специалистом по кибербезопасности.