Вираховує за секунди: вчені створили безвідмовний захист від вірусів-вимагачів

Вчені з США та Південної Кореї придумали надійну систему захисту SSD-дисків, що робить їх невразливими для шифруючих вірусів. Про такий винахід повідомило видання The Register.

Твердотільні накопичувачі (Solid-State Drive або SSD) служать швидким і надійним сховищем інформації на сучасних комп'ютерах. Найчастіше вони використовують флеш-пам'ять типу NAND, великий обсяг якої забезпечує велику кількість осередків у двовимірній матриці напівпровідників. Саме на її основі розробили прошивку SSD-Insider ++, яка дозволяє миттєво відновлювати зашифровані дані.

Дехун Ньянг із Жіночого університету Іхва звернув увагу, що багато користувачів не використовують антивірусні програми для захисту від шкідливого софту, який шифрує дані та вимагає гроші за ключ дешифрування. Він вирішив створити твердотільні накопичувачі, які будуть спочатку захищені від таких загроз.

"На щастя, мій колега Сонджін Лі працював над флеш-пам'яттю NAND, і він знав, що відновити дані буде легко, враховуючи відкладене видалення флеш-пам'яті NAND", — пояснив учений.

SSD-Insider ++ шукає шаблони активності жорстких дисків, які відповідають атакам вірусів-шифрувальників і зупиняє їх. Механізм захисту прямо всередині пристрою запускає апаратне забезпечення контролера, завдяки цьому процес відбувається абсолютно автономно. Після виявлення загрози система припиняє введення і виведення інформації в сховища, а також попереджає користувача, який повинен видалити шкідливу програму.

Як підкреслюють розробники, система дозволяє не тільки знаходити і виявляти віруси, але й скасовувати будь завдані збитки. SSD-Insider ++ не зберігає дані, а використовує механізм накопичувача, який зберігає старі версії даних, щоб приховати незвичайний спосіб поновлення флеш-пам'яті NAND. Таким чином резервні копії за лічені секунди замінюють зашифровані файли.

Як показали лабораторні експерименти, прототип SSD-Insider ++ виявляє 100% вірусних програм і відновлює дані через 10 секунд після початку шифрування і без втрат. При цьому вартість затримки диска зросла лише на 12,8-17,3%, а пропускна здатність — максимум на 8%.

"Ми оцінили SSD-Insider ++ з використанням реальних і власних програм-вимагачів, в тому числі WannaCry і Mole, під час роботи різних фонових додатків. Наша реалізація SSD-Insider ++ має 100-відсоткову точність виявлення з майже 0% FRR/FAR [Коефіцієнт помилкового відхилення і Коефіціент помилкового прийому] в більшості випадків із затримкою виявлення менше 10 секунд", — заявили вчені.

Запуск додаткових функцій SSD-Insider ++, таких як виявлення загроз на основі ентропії, вимагає великих ресурсів, у тому числі високопродуктивних процесорів або апаратних прискорювачів, проте розробники впевнені, що це не стане великим недоліком за часів, коли жорсткі диски активно розвиваються. Незважаючи на перспективи технології, ніхто з виробників поки не хоче впроваджувати її у своїх жорстких дисках.

"Ми звернулися до декількох компаній тут, у Кореї, але поки не знайшли жодної компанії, яка б застосувала цю технологію", — зазначив Дехун Ньянг.

Раніше писали, як хакер намагався зашифрувати дані великих компаній, але видав себе під час листування в Telegram. Він запропонував винагороду в мільйон доларів співробітнику, який виявився фахівцем з кібербезпеки.