Esiste una variante ransomware che verifica la crittografia dei numeri magici del file?

3

Esiste una variante ransomware nota (Cryptolocker, Cryptowall, ecc.) che prima di crittografare i file controlla i loro numeri magici?

Diciamo che c'è un file Word, che ha la sua estensione di file rimossa o cambiata in una non nota. Lo chiameremo CC details (o CC details.qwerty ). Questo file dovrebbe avere 50 4B 03 04 come numeri magici.

È noto un ransomware che eseguirà la scansione del contenuto del file (o anche solo delle prime righe) per vedere che è veramente un file Word e non qualcosa di vuoto?

Ho controllato Google e il massimo che ho trovato è stato il ransomeware kovter, che esegue la scansione del contenuto del file e offusca le prime righe, il che porta a un file non valido (in realtà non lo crittografa). Non è proprio quello che sto cercando (anche se penso che sia un po 'nella giusta direzione)

    
posta Laen 26.05.2016 - 10:59
fonte

1 risposta

1

Sì (ho trovato una versione secondaria di TeslaCrypt per farlo qualche tempo fa), ma la maggior parte cercherà solo estensioni. Alcuni hanno comportamenti diversi, come la crittografia di cartelle complete con la maggior parte dei file di tipi di documenti noti. Qualcosa di semplice come avere un .tx invece di .txt molte volte manterrà i tuoi file al sicuro. Il problema è che i metodi per eliminare qualsiasi backup variano molto, ma è importante notare che la maggior parte di essi disabilita la copia shadow, ripristina i punti e termina alcuni servizi correlati.

    
risposta data 02.06.2016 - 13:59
fonte

Leggi altre domande sui tag