Uma equipa de pesquisadores encontrou uma nova forma de proteger drives SSD de ataques de ransomware. O novo sistema consegue detectar ransomware, para o ataque e mesmo recuperar os dados em segundos. O único senão é um pequeno aumento na latência das drives.
A equipa responsável pelo sistema é formada por pessoas da Inha University, o Daegu Gyeongbuk Institute of Science & Technology (DGIST), University of Central Florida (UCF) e do Cyber Security Department at Ewha Womans University (EWU). O sistema chama-se SSD-Insider, é, supostamente, 100% eficaz e já foi testado em infecções reais por ransomware.
O SSD-Insider funciona através da detecção de alguns padrões de actividade das drives SSD que denotam que está a decorrer uma infecção por ransomware. Segundo os documentos publicados pela equipa: “Para reconhecer a actividade do ransomware, olhámos para o que faz mais: reescrever os dados que estão guardados nas drives”. Esses documentos mencionam concretamente a actividade de ransomware, como o WannaCry, Mole e Cryptoshield.
Segundo um dos membros da equipa: “Quando actividade relacionada com ransomware é detectada pelo SSD-Insider, todas a tarefas de input e output são suspensas automaticamente. Durante a suspensão o utilizador pode remover os processos relacionados com o ransomware.”
Depois do ransomware ser erradicado, o SSD-Insider consegue recuperar quaisquer ficheiros que tenham sido perdidos durante o ataque, graças a uma das características únicas das drives SSD. Os SSD mantêm sempre uma cópia dos dados que são reescritos até serem apagados através da tarefa automática de limpeza do disco. O SSD-Insider tira partido desta particularidade, mantendo uma lista das versões antigas dos dados que estão na drive e não as remove até que o algoritmo de detecção de ransomware confirme que as versões mais recentes não foram afectadas.
O aspecto mais fora do comum do SSD-Insider é que funciona ao nível do firmware. A equipa concebeu-o desta forma, para ajudar os utilizadores que não tenham software de protecção contra ransomware nos seus computadores. O SSD-Insider também foi desenhado para não pesar tanto no processador, como o software anti ransomware tradicional.
O documento da equipa também menciona as desvantagens das soluções de software tradicionais, como a capacidade que algum ransomware tem de contornar a protecção.