fossBytesに8月1日(米国時間)に掲載された記事「ShieldFS Stops Ransomware Attacks With 97% Success And Recovers Your Lost Files」が、イタリアのセキュリティ研究者らがランサムウェアの検出および暗号化されたファイルの復帰を実現するWindowsファイルシステムアドオン「ShieldFS」を開発したと伝えた。実験では97%の確率でランサムウェアを検出できたとしている。
「ShieldFS」は、今年7月に開催されたセキュリティ・カンファレンス「Black Hat USA 2017」で発表された。「ShieldFS」はシャドーイングおよびコピー・オン・ライトの仕組みを利用することで、実際にデータを削除することなくファイルへの書き込みを実現。不審な動作を見せるソフトウェアをモニタリングし、対象がランサムウェアであると判断した場合、上書きしていない元のデータを使うことでファイルを暗号化される前の元の状態に戻す仕組みになっている。
|
「ShieldFS」の仕組み 資料:ShieldFS: The Last Word in Ransomware Resilient Filesystems |
こうした仕組みはデータベースまたは比較的最近のファイルシステムでも使われている。ランサムウェアによる被害を受けた場合、こうしたファイルシステムレベルでの復元機能を有効に利用できる。また、ZFSで細かくスナップショットを作成するといった方法でも似たような復元方法を実現できる。
