ShieldFS : la protection ultime contre les ransomwares ?

Un groupe de chercheurs de l’institut polytechnique de Milan à créé un nouvel outil baptisé ShieldFS et qui devrait intéresser les professionnels de l'IT. En effet, son rôle est de détecter les attaques de ransomwares, qu'ils soit connus ou non, et de réparer les éventuels dégâts causés sur vos données.

Il est clair que les ransomwares représentent une menace majeure, aussi bien pour les particuliers que pour les entreprises, et de toute évidence ils sont difficiles à détecter. En plus, ils sont redoutables et très efficaces.

ShieldFS se présente sous la forme d'un driver pour Windows qui fonctionne sur le modèle suivant : dès lors qu'un processus veut accéder à un fichier pour le modifier, ShieldFS va créer une copie du fichier en question dans une zone protégée en écriture par les privilèges utilisateurs.

Le processus peut modifier la copie du fichier... Pendant ce temps, ShieldFS va analyser son comportement afin de le classer soit en liste blanche s'il est inoffensif, soit en liste noire s'il est malveillant.

S'il est inoffensif, la copie du fichier sera supprimée, alors que s'il est malveillant, le processus sera stoppé et la copie du fichier sera restaurée. Cette classification peut s'avérer compliquée à réaliser, d'autant plus qu'elle doit être réalisée rapidement.

ShieldFS s'appuie sur de l'intelligence artificielle notamment pour répondre à diverses questions : Le processus procède-t-il a de nombreux accès en lecture ? de nombreux accès en écriture ? Les fichiers sont-ils renommés ? Est-ce qu'il y a quantité importante de fichiers manipulés ? Etc.... Ceci permettra de faire pencher la balance d'un côté ou de l'autre.

Par ailleurs, ShieldFS va regarder s'il y a une opération de chiffrement en masse en cours. Les différents algorithmes qui le composent ont appris du fonctionnement de plusieurs centaines d'applications, malveillantes ou non, notamment TeslaCrypt ou CryptoWall. Les différents tests

Le fonctionnement de ShieldFS implique qu'une partie de l'espace de stockage soit réservée aux copies effectuées pour la sauvegarde (selon la durée de sauvegarde que vous souhaitez appliquer). Finalement, ça représente une perte et un coût, relativement faible vu le prix du Go de nos jours... Et si ça permet de protéger les données de votre entreprise, la question ne doit pas se poser.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian a publié 1584 articles sur IT-Connect.See all posts by florian

Une réaction sur “ShieldFS : la protection ultime contre les ransomwares ?

  • 03/08/2017 à 16:06
    Permalink

    1. « Le processus peut modifier la copie du fichier…… »
    2. « S’il est inoffensif, la copie du fichier sera supprimée, alors que s’il est malveillant, le processus sera stoppé et la copie du fichier sera restaurée. »

    Voici deux phrases que je cerne pas. Finalement que deviennent les modifications apportées sur le fichier lorque le processus n’est pas offensif?

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *