为应对勒索软件攻击的行为，研究人员分析出与SSD数据恢复方法

来自韩国仁荷大学（InhaUniversity)、大邱庆北科技学院(DGIST)、中佛罗里达大学(UCF)、梨花女子大学(EWU)网络安全系的一支研究团队刚刚介绍了一套SSD数据检测和恢复方法来应对勒索软件的攻击。这种被称为“SSD-Insider”的方案据说达到了100%的准确率，并且已经通过了现实世界中勒索软件的测试。

据悉，SSD-Insider的工作原理，是识别SSD活动中某些已知可辨别的勒索软件行为模式。

要只根据IO请求头的分布来确定勒索软件活动，研究小组注意到，WannaCry、Mole和CryptoShield等勒索软件都有非常独特的覆盖行为。当SSD-Insider探测到勒索软件活动时，存储的输入输出(IO)将会暂停，这样用户就可以清除SSD-Insider的勒索软件活动。

另外，他们还提到了传统软件防御方式的缺陷，如反勒索软件需要更多CPU开销，而且一些勒索软件可能会逃避反病毒软件的检测。与之相比，SSD-Insider时间开销只有147~254ns。

以WannaCry等勒索软件展开测试时，SSD-Insider为放过任何勒索软件活动，且极少触发误报。在所有测试场景下，其错误拒绝率（FRR）为零、错误接受率（FAR）也几乎为零。

研究者指出：对于FRR来说，最糟糕的“背景噪音”来自于IO/CPU密集型工作环境。对于FAR来说，最坏的结果就是重覆盖类型，如DataWiping和数据库。

但是，在勒索软件开发人员知道该计划的存在后，他们仍然可以开发相应的绕过方法，所以我们仍然需要养成定期备份数据的好习惯。