Il tipico Ransomware attacca solo determinate cartelle / tipi di file

4

Mi aspetto che questo sia molto per malware e OS, quindi potrebbe potenzialmente essere molto ampio, quindi tipico.

Il computer di un utente è stato infettato da un malware che si propone di crittografare tutti i file per estorcere denaro. Ovviamente non cripterà tutto quanto il computer dovrà rimanere operativo per provare a sfruttare i soldi dall'utilizzatore finale e ridurre il rischio di individuazione durante il funzionamento.

Come fa il ransomware a sapere che cosa è sicuro da crittografare senza accidentalmente "spararsi ai piedi".

  • Va per certe cartelle "tipiche" che dicono $ {userhome} \ immagini | musica | documenti | ecc.
  • Va per determinati tipi di file previsti, ad es. doc | jpeg |. mp3
  • È utile per tutto tranne alcune cartelle (ad es. finestre o file di programma).

Inoltre cosa succede se ci sono più unità (quindi SSD per programmi e SO, HDD per file e unità di rete per programmi / file condivisi, ecc.) o se i programmi non sono memorizzati nei luoghi tipici?

So che alla fine della giornata l'attaccante non si preoccupa se costruisce una macchina per le vittime, ma sicuramente se costruissero ogni macchina a mattoni, allora non sarebbero in grado di estorcere denaro ignorando così l'intero aspetto del riscatto. (La risposta ovvia è che si aspettano che gli utenti medi seguano le stesse strutture di cartelle predefinite).

    
posta Crazy Dino 28.04.2016 - 12:52
fonte

3 risposte

2

Per quanto ne so il tipico ransomware, ad esempio il famoso virus Locky, ad esempio, crittografa i file a seconda dell'estensione del file e su tutte le unità locali e remote.

Per scomporlo:

Il ransomware eseguirà la scansione del sistema per

  • Unità locali (unità di sistema, unità secondaria, unità USB e così via)
  • Unità remote (condivisioni di rete come samba, nfs e così via)
  • File con determinati tipi di file predefiniti (ad esempio .jpg, .avi, .doc)

In questo modo non vengono toccati file importanti del sistema operativo, ma gli aggressori hanno ancora i loro "ostaggi".

Se vuoi sapere quali file sul tuo sistema sarebbero interessati rootshell.be ha scritto uno script batch per stimare quali file sarebbero interessati dal tuo sistema. Le estensioni attualmente utilizzate che lo script cerca sono quelle usate da Locky. Naturalmente diversi ransomware possono utilizzare estensioni diverse o anche lavorare in modo diverso come Petya . Petya funziona sovrascrivendo il MBR e avviando un sistema operativo minimalista mentre l'unità C: \ viene crittografata completamente in background.

Sorgenti (se vuoi ulteriori letture):

risposta data 28.04.2016 - 14:08
fonte
0

Pensa all'attacco dal punto di vista di un attaccante. Dovrei criptare solo dove potrebbero memorizzare informazioni, o dovrei crittografare tutto ma quello che so richiede per far funzionare il sistema operativo?

Quindi, in breve, crittografano tutti tranne alcuni percorsi, le cartelle del sistema operativo conosciute. Dal momento che quelli sono estremamente noti, ovviamente, possono semplicemente escludere quelli dal processo di crittografia e crittografare tutto il resto. Con le nuove varianti di cryptolocker, in realtà si stanno ora spostando sulle reti nel tentativo di compromettere le reti aziendali per ottenere maggiori pagamenti, quindi vedranno le unità in rete e seguiranno anche quelle. Ora ovviamente questi dipendono dal ransomware e dalla variante di quel ransomware.

Per ulteriori dettagli tecnici sulla minaccia esatta di Cryptolocker in particolare: link

    
risposta data 28.04.2016 - 13:23
fonte
0

Dipende dalla tua definizione di tipico - che è un bersaglio mobile. Abbiamo ora visto la prima istanza di ransomware denominata Petya che, piuttosto che crittografare i file, crittografa il file master Tabella e il record di avvio principale (MBR). E la MFT gestisce essenzialmente tutte le informazioni sui file.

Se si cripta la MFT, non è necessario crittografare i file (molto più velocemente!). Petya sostituisce il record di avvio principale con un grande e spaventoso teschio-e-ossa incrociate rosso-e-bianco dipinto con simboli del dollaro sullo schermo. E poiché il sistema ha bisogno di leggere l'MBR / MFT ogni volta che si riavvia, non è possibile ignorarlo (tranne i backup).

Fortunatamente gli autori del ransomware hanno commesso un errore ed è possibile recuperare i dati , ma puoi essere certo che a) il le prossime versioni del malware avranno questo fisso e b) le copiatrici cominceranno a fare anche questo.

    
risposta data 29.04.2016 - 13:39
fonte

Leggi altre domande sui tag