Дослідники впроваджують захист від шкідливих програм безпосередньо в твердотільні накопичувачі. Це дозволяє уберегти дані від незвичайних вірусів та шифрувальників. Останні використовують легальну функцію шифрування для завдання шкоди.
Нове антивірусне програмне забезпечення діє на рівні вбудованої прошивки контролера SSD. Цей метод трохи знижує продуктивність, збільшуючи затримку передачі даних на 17% і знижуючи максимальну пропускну здатність на 8%.
Автори кажуть, що їхнє рішення легко інтегрується в виробничий ланцюжок поставок SSD. Вони вважають, що така технологія може стати невід’ємним елементом оснащення для комерційних SSD. Адже проблема з вимагачами стає дедалі більш серйозною і в наступні десять років їхні атаки обійдуться у $265 млрд.
Розробка називається SSD-Insider++ та використовує переваги вбудованих механізмів запису і видалення даних у флеш-пам’яті NAND. Було показано, що прошивка виявляє і зупиняє вторгнення програм-вимагачів зі 100% ефективністю, одночасно відновлюючи наслідки будь-якого шифрування протягом 10 секунд після запуску процесу.
«Ми оцінили SSD-Insider++ з використанням реальних і власних програм-вимагачів, включаючи WannaCry і Mole, які працювали одночасно з різними фоновими програмам, – написала дослідницька група у своєму звіті. – Наша реалізація SSD-Insider++ забезпечує 100-відсоткову точність виявлення з майже 0% хибного спрацювання. В більшості випадків із затримкою виявлення менше 10 секунд».
Вбудоване програмне забезпечення використовує контролер SSD для постійного моніторингу активності SSD. При цьому піднімаються червоні прапорці, якщо виконується будь-яка робоче навантаження по шифруванню, яка не ініціюється користувачем.
У цьому випадку контролер зупиняє всі запити на запис на SSD, ефективно призупиняючи процес шифрування. Також накопичувач повідомляє користувача через супутній програмний додаток із можливістю вчинити негайні дії, наприклад, запустити антивірус.
Програмний рівень в супутньому додатку не є частиною нового рішення. SSD-Insider++ повністю засноване на апаратному обладнанні. Супутній додаток дозволяє користувачеві зручно взаємодіяти з рішенням та негайно відновлювати будь-які дані, які були зашифровані до спрацьовування SSD-Insider++.
Хоча це конкретне рішення SSD-Insider++ може бути впроваджене в поточному поколінні контролерів SSD, його подальше удосконалення може вимагати від виробників підвищення продуктивності контролерів.
Представник антивірусної компанії ESET у Великобританії Джейк Мур вважає, що SSD-Insider++ може бути ненадійним рішенням. Функція використовує затримку видалення, що означає, що розробники програм-вимагачів можуть досить легко обійти її, знаючи її принципи роботи.
Підписуйтесь на канал в Telegram та читайте нас у Facebook. Завжди цікаві та актуальні новини!