Bir araştırma takımı, SSD’leri fidye yazılımı akınlarından korumak için yeni bir sistem geliştirdi. Bu metot fidye yazılımını algılayabiliyor, ziyan vermedilk evvel engelleyebiliyor ve hatta çalınan dataları kısa müddette kurtarabiliyor.
The Register, Inha Üniversitesi Daegu Gyeongbuk Bilim ve Teknoloji Enstitüsü, Florida Merkez Üniversitesi ve Ewha Womans Üniversitesi’ndeki Siber Güvenlik Departmanından gelen araştırmacılarla bir görüşme yaptı. SSD-Insider ismi verilen sistem, gerçek dünya fidye yazılımları üzerinde test edildi.
SSD-Insider, SSD etkinliğinde fidye yazılımına işaret eden belli kalıpları algılayarak çalışıyor. Bu projeyle ilgili makalede, “Fidye yazılımı aktifliğini tanımak için, bir fidye yazılımının eşsiz davranışlarına ve yazma süreçlerine dikkat ettik.” formunda bir açıklama yapılıyor. Bu noktada bilhassa WannaCry, Mole ve CryptoShield üzere fidye yazılımlarının hareketlerine dikkat çekilmiş.
Inha araştırmacısı DaeHun Nyang, “SSD-Insider++ tarafınca fidye yazılımı aktifliği tespit edildiğinde depolamaya giriş/çıkış askıya alınır. Askıya alma sırasında kullanıcılar fidye yazılımı sürecini kaldırabilir.” diyor.
Fidye yazılımı durdurulduktan daha sonra ise SSD’lerin sahip olduğu özellikler niçiniyle kayıp belgeler kurtarılabiliyor. Bu noktada Garbage Collector özelliğinin kalıcı olarak silinene kadar eski dataları her vakit sakladığı belirtilmiş. SSD-Insider, SSD’lerin ortasındaki eski data sürümlerini takip ediyor ve fidye yazılımı algılama algoritması yeni sürümlerin fidye yazılımlarından etkilenmediğini onaylayana kadar bunları asla kaldırmıyor.
Geliştirilen yazılım, WannaCry ve öteki fidye yazılımlarıyla yapılan testlerde hiç bir berbat niyetli yazılımı kaçırmadı ve nadiren yanlış tespitler yaptı. Test edilen tüm senaryolarda Yanlış Reddetme Oranı (FRR) %0 düzeyindeydi.
Bir antivirüs araştırmacısı ise The Register’a SSD-Insider üzere bir formülün kusursuz olmadığını söylemiş oldu. ESET UK’den Jake Moore, “İşlev, silme esnasındaki bir gecikmeden yararlanıyor. Fidye yazılımı geliştiricilerin bu prosedürün nasıl çalıştığını biliyor olabilir ve bunu atlatabilir.” biçiminde bir açıklama yaptı. ötürüsıyla her durumda bilgilerin yedeklenmiş olması büyük ehemmiyet taşıyor.
The Register, Inha Üniversitesi Daegu Gyeongbuk Bilim ve Teknoloji Enstitüsü, Florida Merkez Üniversitesi ve Ewha Womans Üniversitesi’ndeki Siber Güvenlik Departmanından gelen araştırmacılarla bir görüşme yaptı. SSD-Insider ismi verilen sistem, gerçek dünya fidye yazılımları üzerinde test edildi.
SSD-Insider, SSD etkinliğinde fidye yazılımına işaret eden belli kalıpları algılayarak çalışıyor. Bu projeyle ilgili makalede, “Fidye yazılımı aktifliğini tanımak için, bir fidye yazılımının eşsiz davranışlarına ve yazma süreçlerine dikkat ettik.” formunda bir açıklama yapılıyor. Bu noktada bilhassa WannaCry, Mole ve CryptoShield üzere fidye yazılımlarının hareketlerine dikkat çekilmiş.
Inha araştırmacısı DaeHun Nyang, “SSD-Insider++ tarafınca fidye yazılımı aktifliği tespit edildiğinde depolamaya giriş/çıkış askıya alınır. Askıya alma sırasında kullanıcılar fidye yazılımı sürecini kaldırabilir.” diyor.
Fidye yazılımı durdurulduktan daha sonra ise SSD’lerin sahip olduğu özellikler niçiniyle kayıp belgeler kurtarılabiliyor. Bu noktada Garbage Collector özelliğinin kalıcı olarak silinene kadar eski dataları her vakit sakladığı belirtilmiş. SSD-Insider, SSD’lerin ortasındaki eski data sürümlerini takip ediyor ve fidye yazılımı algılama algoritması yeni sürümlerin fidye yazılımlarından etkilenmediğini onaylayana kadar bunları asla kaldırmıyor.
Geliştirilen yazılım, WannaCry ve öteki fidye yazılımlarıyla yapılan testlerde hiç bir berbat niyetli yazılımı kaçırmadı ve nadiren yanlış tespitler yaptı. Test edilen tüm senaryolarda Yanlış Reddetme Oranı (FRR) %0 düzeyindeydi.
Bir antivirüs araştırmacısı ise The Register’a SSD-Insider üzere bir formülün kusursuz olmadığını söylemiş oldu. ESET UK’den Jake Moore, “İşlev, silme esnasındaki bir gecikmeden yararlanıyor. Fidye yazılımı geliştiricilerin bu prosedürün nasıl çalıştığını biliyor olabilir ve bunu atlatabilir.” biçiminde bir açıklama yaptı. ötürüsıyla her durumda bilgilerin yedeklenmiş olması büyük ehemmiyet taşıyor.