来源于韩仁荷大学(Inha University)、大邱庆北科技大学(DGIST)、中佛罗里达大学(UCF)、及其梨花女子大学(EWU)网络信息安全系的一支科学研究精英团队,刚详细介绍了一套解决勒索软件进攻的 SSD 数据信息检验与修复方式。听说这套名叫“SSD-Insider”的方法可完成几乎 100% 的精确性,且已根据现实世界中勒索软件的检测磨练。
科学研究配图图片(来源于:UCF | PDF)
据了解,SSD-Insider 的原理,是鉴别 SSD 主题活动中一些已经知道可辨其他勒索软件行为模式。
为了更好地仅根据 IO 要求标头的遍布来鉴别勒索软件主题活动,科学研究精英团队留意到 WannaCry、Mole 和 CryptoShield 等勒索软件,都有着非常与众不同的遮盖个人行为。
仁荷大学研究者 DaeHun Nyang 在接纳 The Register 访谈还称:“当 SSD-Insider 检验到勒索软件主题活动时,储存器的键入 / 輸出(IO)将被中止,便于客户可以对勒索软件过程开展去除”。
勒索软件个人行为运作模式
在勒索软件被中断时,SSD-Insider 还可根据 SSD 的与众不同特性,来修复已遗失的文档。
文章内容强调:在被新数据遮盖以前,固体储存器将自始至终保存先前被移除的数据信息,直到后面被主控芯片和固定件的垃圾分类回收体制给清除。
根据运用 SSD 的这一内嵌备份数据作用,SSD-Insider 也得到跟踪控制器内的旧版数据信息。随后在勒索软件检验优化算法确定最新版本数据信息未遭受勒索软件危害以前,这种数据信息都将不被彻底删除。
SSD-Insider 检测主要表现
SSD-Insider 的真真正正与众不同之处,取决于它乃至可以以固定件等级运作。那般即使系统软件上沒有安裝对应的电脑安全软件,客户也可得到抵挡勒索软件进攻的好处。
除此之外,毕业论文中提及了传统的手机软件防御力方式的缺陷,例如反勒索软件的 CPU 花销较高、且一些勒索软件很有可能逃离反病毒软件的检验。比较之下,SSD-Insider 的時间花销仅在 147~254 ns 上下。
以 WannaCry 等勒索软件进行检测时,SSD-Insider 为忽略一切勒索软件主题活动,且非常少开启乱报。在全部检测情景下,其不正确回绝率(FRR)为零、不正确接纳率(FAR)也几乎为零。
检测练习用的勒索软件 / 应用软件
科学研究工作人员强调:就 FRR 来讲,最槽糕的“声音分贝”,来自 IO / CPU 密集式的办公环境。对于 FAR,最槽糕的情形也是 DataWiping 和数据库系统等重遮盖种类的作业情景。
自然,针对病毒防护科学研究工作人员而言,SSD-Insider 的如此的办法也并非万无一失的。
终究在勒索软件开发人员了解了该方法的存有以后,后面仍可研发出相应的绕开方式,因此我们依然要形成按时备份资料的良好的习惯。