ShieldFS : la protection ultime contre les ransomwares ?

31/07/201717/07/2023 Florian BURNEL 4099 Views 1 Commentaire Ransomware, Windows 1 min read

Un groupe de chercheurs de l’institut polytechnique de Milan à créé un nouvel outil baptisé ShieldFS et qui devrait intéresser les professionnels de l'IT. En effet, son rôle est de détecter les attaques de ransomwares, qu'ils soit connus ou non, et de réparer les éventuels dégâts causés sur vos données.

Il est clair que les ransomwares représentent une menace majeure, aussi bien pour les particuliers que pour les entreprises, et de toute évidence ils sont difficiles à détecter. En plus, ils sont redoutables et très efficaces.

ShieldFS se présente sous la forme d'un driver pour Windows qui fonctionne sur le modèle suivant : dès lors qu'un processus veut accéder à un fichier pour le modifier, ShieldFS va créer une copie du fichier en question dans une zone protégée en écriture par les privilèges utilisateurs.

Le processus peut modifier la copie du fichier... Pendant ce temps, ShieldFS va analyser son comportement afin de le classer soit en liste blanche s'il est inoffensif, soit en liste noire s'il est malveillant.

S'il est inoffensif, la copie du fichier sera supprimée, alors que s'il est malveillant, le processus sera stoppé et la copie du fichier sera restaurée. Cette classification peut s'avérer compliquée à réaliser, d'autant plus qu'elle doit être réalisée rapidement.

ShieldFS s'appuie sur de l'intelligence artificielle notamment pour répondre à diverses questions : Le processus procède-t-il a de nombreux accès en lecture ? de nombreux accès en écriture ? Les fichiers sont-ils renommés ? Est-ce qu'il y a quantité importante de fichiers manipulés ? Etc.... Ceci permettra de faire pencher la balance d'un côté ou de l'autre.

Par ailleurs, ShieldFS va regarder s'il y a une opération de chiffrement en masse en cours. Les différents algorithmes qui le composent ont appris du fonctionnement de plusieurs centaines d'applications, malveillantes ou non, notamment TeslaCrypt ou CryptoWall. Les différents tests

Le fonctionnement de ShieldFS implique qu'une partie de l'espace de stockage soit réservée aux copies effectuées pour la sauvegarde (selon la durée de sauvegarde que vous souhaitez appliquer). Finalement, ça représente une perte et un coût, relativement faible vu le prix du Go de nos jours... Et si ça permet de protéger les données de votre entreprise, la question ne doit pas se poser.

Source

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5566.Voir tous les posts

One thought on “ShieldFS : la protection ultime contre les ransomwares ?”

Freud LANHA
03/08/2017 à 16:06
Permalink

1. « Le processus peut modifier la copie du fichier…… »
2. « S’il est inoffensif, la copie du fichier sera supprimée, alors que s’il est malveillant, le processus sera stoppé et la copie du fichier sera restaurée. »

Voici deux phrases que je cerne pas. Finalement que deviennent les modifications apportées sur le fichier lorque le processus n’est pas offensif?
Répondre