Исследователи внедряют защиту от вредоносных программ непосредственно в твердотельные накопители. Это позволяет уберечь данные от необычных вирусов и шифровальщиков. Последние используют легальную функцию шифрования для нанесения ущерба.
Новое антивирусное программное обеспечение действует на уровне встроенной прошивки контроллера SSD. Этот метод немного снижает производительность, увеличивая задержку передачи данных на 17% и снижая максимальную пропускную способность на 8%.
Авторы говорят, что их решение легко интегрируется в производственную цепочку поставок SSD. Они считают, что такая технология может стать неотъемлемым элементом оснастки для коммерческих SSD. Ведь проблема с вымогателями становится все более серьезной и в следующие десять лет их атаки обойдутся в $265 млрд.
Разработка называется SSD-Insider++ и использует преимущества встроенных механизмов записи и удаления данных во флэш-памяти NAND. Было показано, что прошивка обнаруживает и останавливает вторжение программ-вымогателей со 100% эффективностью, одновременно восстанавливая последствия любого шифрования в течение 10 секунд после запуска процесса.
«Мы оценили SSD-Insider++ с использованием реальных и собственных программ-вымогателей, включая WannaCry и Mole, которые работали одновременно с различными фоновыми программами, — написала исследовательская группа в своем отчете. — Наша реализация SSD-Insider++ обеспечивает 100-процентную точность обнаружения с почти 0% ложного срабатывания. В большинстве случаев с задержкой обнаружения менее 10 секунд».
Встроенное программное обеспечение использует контроллер SSD для постоянного мониторинга активности SSD. При этом поднимаются красные флажки, если выполняется любая рабочая нагрузка по шифрованию, которая не инициируется пользователем.
В этом случае контроллер останавливает все запросы на запись на SSD, эффективно приостанавливая процесс шифрования. Также накопитель уведомляет пользователя через сопутствующее программное приложение с возможностью совершить немедленные действия, например, запустить антивирус.
Программный уровень в сопутствующем приложении не является частью нового решения. SSD-Insider++ полностью основано на аппаратном оборудовании. Сопутствующий приложение позволяет пользователю удобно взаимодействовать с решением и немедленно восстанавливать любые данные, которые были зашифрованы до срабатывания SSD-Insider++.
Хотя это конкретное решение SSD-Insider++ может быть внедрено в текущем поколении контроллеров SSD, его дальнейшее усовершенствование может требовать от производителей повышения производительности контроллеров.
Представитель антивирусной компании ESET в Великобритании Джейк Мур считает, что SSD-Insider++ может быть ненадежным решением. Функция использует задержку удаления, что означает, что разработчики программ-вымогателей могут довольно легко обойти ее, зная ее принципы работы.