Il processo di base consiste nel leggere il contenuto del file e scriverlo su disco utilizzando una qualche forma di crittografia asimmetrica per garantire che sia necessario pagare per recuperare i dati. Alcuni crittografano solo piccole sezioni dei dati per migliorare la velocità, altri riscriveranno l'intero disco rigido, se possibile. Come alcune delle altre risposte, alcuni malware crittografano semplicemente una parte del tuo file sul posto per accelerare il processo, dal momento che per molti formati di file anche un leggero cambiamento nel file rende l'intero file inutilizzabile.
How can ransomware like CTB-Locker or Crypt0l0cker encrypt their victims files instantly?
Non possono. Invece quello che fanno è nascondere la loro attività rendendo i file visualizzati per essere OK fino al completamento del processo. Intercettando le chiamate al sistema file è possibile modificare la visualizzazione dell'utente di ciò che è effettivamente presente sul disco, facendo sembrare che tutto sia ancora OK fino al termine, quindi quando si toglie l'intercetta l'utente può vedere il vero stato del disco . Il pericolo nel fare questo è che devi avere entrambe le parti della tua coppia di chiavi asimmetriche per decodificare i file al volo quando l'utente ne apre uno, il che in linea di principio significa che qualcosa potrebbe trovare la chiave privata che vuoi vendere l'utente più tardi.
Altri malware come CryptoWall (di cui ho avuto più esperienza di recente di quanto non voglia ricordare) non si preoccupano di nascondersi, si limita a cifrare tutto quanto più velocemente possibile ... e questo è praticamente limitato da la velocità di I / O dell'unità che sta crittografando.
Esaminando alcuni parametri di riferimento per AES - che è l'algoritmo di crittografia utilizzato da CryptoWall - una CPU moderna modesta può crittografare i dati a velocità superiori a 100 MB / sec, il che significa che è probabile che l'operazione sia IO- associato a qualcosa di diverso da un SSD. Aggiungi più thread in esecuzione su core CPU separati per il targeting di diverse cartelle e / o unità e il processo può essere completato abbastanza rapidamente.
Recentemente ho dovuto ripulire un file server che era stato elaborato da CryptoWall in esecuzione su uno dei PC degli utenti. Quando gli utenti hanno notato che c'era qualcosa di sbagliato, il malware era in esecuzione da circa 1,75 ore. Abbiamo tolto la cosa dalla rete a un passo dal segno delle 2 ore e durante la pulizia ho trovato circa 230 GB di file crittografati. Si tratta di una media di circa 30 MB / sec di crittografia, che è certamente fattibile nell'ambiente. Ci sono voluti circa 3 volte tanto per ripristinare i file dal backup precedente. Anche se ho qualche idea su come accelerarla la prossima volta, la maggior parte dei client ha i propri backup su NAS scadenti a basso costo o unità USB ( shudder ).
Purtroppo è improbabile che vedremo la fine di queste cose in qualunque momento presto. Una soluzione di backup competente e correttamente configurata è il tuo migliore amico quando una di queste cose colpisce. Non fa male avere un programmatore a portata di mano per programmare il ripristino.