Quali sono le azioni di Locky sui file sorgente che portano alla crittografia?

Naviga le tue risposte
5

Durante le discussioni sulle possibili azioni per mitigare il rischio del ransomware Locky , qualcuno ha indicato la possibilità di impedire a livello di sistema operativo la creazione di file .locky tramite Gestione risorse file server . L'idea era che l'impossibilità di creare file .locky potesse ostacolare il malware dell'esecuzione.

Dato che sono estremamente scettico sull'efficacia di questa tecnica vorrei capire la metodologia usata da Locky quando si tratta di file mirati.

Non mi interessa il modo in cui viene eseguita la crittografia, ma quali sono i passaggi che portano da un file sano alla versione crittografata (in particolare: cosa succede quando Locky non riesce a crittografare un file e cosa succede a un file dopo che il suo contenuto ha stato (con successo o no) crittografato).

Questa analisi è disponibile?

    
posta WoJ 16.03.2016 - 12:58
fonte

1 risposta

1

Cosa succede quando Locky non riesce a crittografare un file? Locky "fallisce" la crittografia quando non può raggiungere uno dei server C & C. Prova a ricevere la chiave privata che si trova sul server C & C. Locky non può fallire la crittografia una volta che ha la chiave privata, a meno che tutti i processi Locky non vengano cancellati mentre si sta crittografando. Ciò significa che c'è una grande possibilità che un file possa essere danneggiato.

Che cosa succede a un file dopo che il suo contenuto è stato (con successo o meno) crittografato? Il contenuto di un file crittografato sarà tutto criptato. Questa dimensione del file sarà diversa e anche l'entropia sarà più alta. Il contenuto di un file crittografato fallito sarà probabilmente lo stesso. Tranne che può essere che il contenuto sarà più piccolo del contenuto originale del file non criptato. E una volta decodificato con la chiave privata, il file sarà probabilmente danneggiato.

    
risposta data 16.03.2016 - 14:11
fonte

Leggi altre domande sui tag

Il riempimento di PKCS 1.5 consente a un utente malintenzionato di estrarre la chiave privata o no? PKCS 1.5 è sicuro da usare nel contesto dell'autenticazione? Il governo può davvero irrompere in un iPhone attraverso la sovrascrittura di codice fisico?