Come può il ransomware conoscere i tipi di file?

21

Quando ransomware cerca i file della vittima durante la scansione, come può sapere il ransomware il tipo di file?

Può controllare il nome del file (ad esempio book.pdf ) o le firme dei file.

Quello che mi chiedo è quando cambio l'estensione nel nome del mio file (diciamo, book.pdf - > book.customEX ), penso che il ransomware non dovrebbe essere in grado di trovare i miei file, quindi anche i file di crittografia non può essere fatto.

Posso avere qualche opinione o consiglio?

    
posta Hwan 03.11.2016 - 13:35
fonte

5 risposte

78

Prima di tutto, non tutti i ransomware sono creati uguali: proprio come qualsiasi software, alcuni ransomware sono ben scritti, mentre altri sono scritti male. È possibile ottenere una panoramica delle principali varianti di ransomware su wikipedia / ransomware . Alcuni ransomware, in particolare CryptoLocker, utilizzano elenchi di estensioni di file per decidere quali file crittografare, e perché no? Gli utenti abbastanza informati per cambiare le loro estensioni di file probabilmente hanno dei backup e non ti pagheranno comunque. Come sottolinea @usr, puoi comunque ottenere molte persone con approcci semplici. Detto questo, alcuni ransomware, come CryptoWall, sono molto sofisticati, e mentre non so come funziona, posso speculare su cosa è possibile.

Come dici tu, i file spesso contengono una "firma di file" - un breve codice esadecimale vicino all'inizio del file che indica che tipo di file è. Ecco due elenchi di questi "numeri magici" da Wikipedia: [1] , [2] .

Il sistema operativo Windows si basa molto sulle estensioni di file nel nome del file ed è notoriamente fragile se lo si modifica, ma ciò non significa che tutto il software debba essere così terribile.

Ad esempio, c'è un'utilità Unix standard chiamata file che guarderà il numero magico e racconterà tu che tipo di file è, non c'è ragione per cui ransomware non possa fare lo stesso.

    
risposta data 03.11.2016 - 13:50
fonte
6

Il programma dannoso rileverà i tuoi file tramite le firme

C'è un esempio (image.png):

hexdump -C image.png | head

output di esempio:

00000000  89 50 4e 47 0d 0a 1a 0a  00 00 00 0d 49 48 44 52  |.PNG........IHDR|
00000010  00 00 02 4a 00 00 00 bc  08 06 00 00 00 87 77 81  |...J..........w.|
00000020  b4 00 00 00 01 73 52 47  42 00 ae ce 1c e9 00 00  |.....sRGB.......|
00000030  00 04 67 41 4d 41 00 00  b1 8f 0b fc 61 05 00 00  |..gAMA......a...|
00000040  00 09 70 48 59 73 00 00  0e c4 00 00 0e c4 01 95  |..pHYs..........|
00000050  2b 0e 1b 00 00 24 b1 49  44 41 54 78 5e ed 96 8d  |+....$.IDATx^...|
00000060  ae 5d 29 08 85 fb fe 2f  dd 09 e9 30 e3 a5 8a 88  |.])..../...0....|
00000070  20 e8 e6 4b 48 7b e4 6f  01 bb 49 7f fd 2e 8a a2  | ..KH{.o..I.....|
00000080  28 8a a2 28 ba d4 7f 94  8a a2 28 8a a2 28 06 d4  |(..(......(..(..|
00000090  7f 94 8a a2 28 8a a2 28  06 d4 7f 94 8a a2 28 8a  |....(..(......(.|

Cambierò il mio image.png con l'estensione personalizzata customEX , quindi otterrò il file hexdump

Anche in questo caso eseguirò hexdump -C image.customEX | head

C'è l'output:

00000000  89 50 4e 47 0d 0a 1a 0a  00 00 00 0d 49 48 44 52  |.PNG........IHDR|
00000010  00 00 02 4a 00 00 00 bc  08 06 00 00 00 87 77 81  |...J..........w.|
00000020  b4 00 00 00 01 73 52 47  42 00 ae ce 1c e9 00 00  |.....sRGB.......|
00000030  00 04 67 41 4d 41 00 00  b1 8f 0b fc 61 05 00 00  |..gAMA......a...|
00000040  00 09 70 48 59 73 00 00  0e c4 00 00 0e c4 01 95  |..pHYs..........|
00000050  2b 0e 1b 00 00 24 b1 49  44 41 54 78 5e ed 96 8d  |+....$.IDATx^...|
00000060  ae 5d 29 08 85 fb fe 2f  dd 09 e9 30 e3 a5 8a 88  |.])..../...0....|
00000070  20 e8 e6 4b 48 7b e4 6f  01 bb 49 7f fd 2e 8a a2  | ..KH{.o..I.....|
00000080  28 8a a2 28 ba d4 7f 94  8a a2 28 8a a2 28 06 d4  |(..(......(..(..|
00000090  7f 94 8a a2 28 8a a2 28  06 d4 7f 94 8a a2 28 8a  |....(..(......(.|

Come puoi vedere, la firma del file rimane invariata e può essere verificata da List_of_file_signatures

89 50 4E 47 
0D 0A 1A 0A

Can I have some opinions or advice?

Devi creare backup sicuri dei tuoi dati su base regolare (hdd esterno ...) e scollegare fisicamente il dispositivo dal PC.

    
risposta data 04.11.2016 - 11:50
fonte
3

Il ransomware che ho rimosso in genere cerca estensioni di file comuni. Quando trovano una corrispondenza, eseguono il loro script di crittografia e passano al file successivo.

Potrebbero anche guardare l'intestazione del file, ma afferrare le estensioni è probabilmente abbastanza dannoso.

    
risposta data 04.11.2016 - 06:05
fonte
-2

Il ransomware, a meno che non sia scritto molto male, distinguerà i file di avvio dai file non di avvio. Questo riconoscimento, tuttavia, si basa su impostazioni predefinite, che potrebbero causare un problema a qualcuno come me che ha un settore bootloader / avvio che hanno scritto. Il ransomware può crittografare questi file in quanto non li riconosce. Ma la crittografia dei file di avvio regolari potrebbe essere una buona idea. Il ransomware può sostituire il bootloader con uno che simula il bootloader di Windows o Grub / Grub2, ma con la possibilità di leggere questi file di avvio crittografati. In questo modo, il computer potrebbe non essere avviato fino a quando il prezzo non è stato pagato.

Il ransomware probabilmente controllerà il numero magico.

    
risposta data 03.11.2016 - 23:44
fonte
-2

Il guasto del disco rigido è un tipo molto più comune di ransomware. Eseguire il backup dei file e fare eseguire il backup di un sito esterno. Un'installazione pulita è comunque molto più carina.

    
risposta data 05.11.2016 - 20:26
fonte

Leggi altre domande sui tag