研究人员发展及时侦测技术，96.9%勒赎软件难逃法眼

因应日愈猖獗的勒赎软件，美国安全大会Black Hat 2017上，意大利研究人员发表能侦测勒赎软件、阻断行为，甚至及时将档案解密的最新安全技术。
 
米兰理工大学教授Andrea Continella及其团队发表名为ShieldFS的专案。根据研究团队表示，ShieldFS是一套Windows核心模组，可监控及记录档案系统活动。它会自动建立侦测模型来侦测档案系统中的写入时复制（copy-on-write, COW）活动。一般勒赎软件复制受害档案、写入程式码加密，最后以分身置换掉原始档案就是一种COW行为。
 
而ShieldFS除了能侦测COW，还会寻找使用加密质数的现象。它特别会扫描内存中是否有可疑活动，像是区块加密金钥排程（block cipher key schedule），这些都是勒赎软件正在加密档案的指标。ShieldFS即借此分辨出runtime中的正常行为及勒赎软件。
 
而除了侦测外，ShieldFS还会出手干预恶意软件行为。使用一种“即时自我修复的虚拟档案系统”技术，侦测到勒赎软件时，ShieldFS会发出讯号给操作系统要求停止动作，透过虚拟档案系统拦截COW作业，暂时保留原始档案，让它能及时将档案解密回复。
 
研究人员指出，由于ShieldFS是侦测加密行为有无，而非按照特征识别码比对恶意程式，因此比传统防毒软件更能侦测未见过的勒赎软件，对于快速变化的勒赎软件的侦测更有用。研究人员宣称ShieldFS在WannaCry加密仅200个档案就已经侦测到，而且因为能自动回复，因此没有任何档案因此损失。此外，网络上1483个勒赎软件包括知名的Locky、TeslaCrypt、CryptoLocker、CryptoWall、ZeroLocker几乎都难逃法眼，侦测率高达96.9%。（来源：ShieldFS）

 
研究团队表示目前这项技术仍在开发中，近期内可望完成可实际操作的版本。