Университет Пердью, штат Индиана, представил ИТ-сообществу новую технологию, которая в будущем может стать надежной защитой от зловредов, уничтожающих пользовательские данные. Американские исследователи назвали свою разработку R2D2 — Reactive Redundancy for Data Destruction («Своевременная реакция на удаление данных»).

Метод заключается в создании точки восстановления системы при выявлении характерных для программ-вайперов операций. Как известно, при удалении файла операционная система не стирает его физически, а помечает занимаемое им пространство как свободное. Чтобы не дать пользователю восстановить данные, вредоносное ПО заполняет их место на жестком диске случайной информацией.

R2D2 способен отслеживать такую «мусорную» активность, игнорируя при этом обычные операции удаления. Таким же образом новая технология идентифицирует работу специальных программ безопасного уничтожения данных. Система распознает 13 наиболее популярных методов очистки, которые применяются в подобных утилитах. Если она замечает на устройстве похожие процессы, то создает резервные копии файлов.

По словам исследователей, они добавили функцию обнаружения операций полного удаления данных, стремясь защитить пользователей от атак злоумышленников, у которых имеется физический доступ к устройству. Кроме того, не исключено, что «белые» методы уничтожения информации возьмут на вооружение и авторы зловредов.

Пока R2D2 существует лишь в качестве прототипа, функционирующего на виртуальной машине в среде Windows 7. Применение эмулятора обусловлено принципом работы программы — она должна находиться вне операционной системы, чтобы иметь возможность отслеживать подозрительную активность.

Это же является одним из слабых мест технологии — работа с виртуальной машиной требует больших затрат ресурсов. В нынешнем виде утилита загружает процессор на 1–4% при выполнении простых задач и до 20% на пакетных операциях. Одним из принципиальных подходов к решению проблемы является аппаратная реализация алгоритма R2D2 и включение защитной технологии в чипсет специальной микросхемы, отвечающей за безопасность.

По мнению специалистов, нет никаких препятствий для развертывания системы на других версиях Windows, а также на Linux-платформах.

Прототип показал блестящие результаты — из 989 деструктивных действий были пропущены всего два, а на таком же количестве легальных операций с файлами произошло лишь пять ложных срабатываний. Коммерческая эксплуатация новой технологии позволит поставить серьезный заслон программам-стирателям, которые сегодня выводят из строя тысячи компьютеров по всему миру.

Исследователи полагают, что механизм R2D2 будет эффективен против обеих версий деструктивного зловреда Shamoon, который не один год досаждает государственным и частным компаниям Саудовской Аравии. Разработка ученых из Пердью поможет и в борьбе с вайпером StoneDrill, также ответственным за случаи киберсаботажа на Ближнем Востоке. Технология способна распознать действия самых опасных утилит, производящих очистку загрузочной области диска. К ним относится, например, программа Destover, серьезно осложнившая жизнь корпорации Sony несколько лет назад.

Категории: Кибероборона