Ученые Южной Кореи и США создали защиту от вирусов-шифровальщиков для SSD

Новую технологию защиты твердотельных накопителей (SSD) от вирусов-шифровальщиков предложила команда исследователей из Южной Кореи и США, 9 сентября сообщает сетевое издание The Register.

Названная SSD-Insider++ технология «прошивается» в контроллер SSD и использует свойство отложенной записи в твердотельных накопителях на ячейках памяти NAND.

Она позволяет отследить активность работы с диском, характерную для вирусов-шифровальщиков, которые сначала зашифровывают все данные на диске пользователя, а потом требуют деньги за ключ, позволяющий их расшифровать.

После обнаружения такой активности SSD-Insider++ приостанавливает работу с диском и уведомляет пользователя о подозрениях на работу вируса. В этот момент пользователь может заблокировать нежелательную активность и за несколько секунд отменить изменения на диске.

Однако в результате внедрения такой технологии скорость работы SSD понизится. По данным исследователей, внедрение такой защиты увеличивает задержку на 12-17% и снижает пропускную способность на 8%.

«Мы оценили SSD-Insider++ с использованием реальных и собственных программ-вымогателей, включая WannaCry и Mole, во время работы различных фоновых приложений», — сообщили ученые, отметив что эксперимент показал 100% точность обнаружения шифровальщиков.

Также исследователи рассказали, что технологию нельзя применить со старыми традиционными жесткими дисками (HDD), однако это возможно сделать с современными HDD, работающими по технологии SMR.

Ученые предложили внедрить такую защиту нескольким производителям SSD в Южной Корее, однако их она пока не заинтересовала. Также, согласно комментарию эксперта по безопасности ESET UK Джейка Мура, разработчики программ-вымогателей вероятно смогут обойти такую защиту, зная на каких принципах (отложенной записи) она работает.