Oggi, uno dei miei utenti finali che utilizza Windows 7 (come riferimento) è stato infettato da una variante ransomware che stranamente non sembra aver modificato le estensioni dei file.
È possibile? C'è un meccanismo per nascondere l'estensione? Perché tutti i file sembrano essere normali in questo senso.
Basati sui file .txt e .png con il messaggio per l'utente, penso che potrebbe essere una variante di Cerber, ma non ne sono sicuro.
Is this possible?
Certo che lo è. Non deve assolutamente cambiare i nomi dei file. Cripta solo il contenuto.
Is there a mechanism to hide the extension? Because all files seem to be normal in that sense.
Sì, potresti chiamarlo foo.txt.enc e quindi attivare l'opzione "Nascondi estensioni" in Explorer. Ma come ho detto sopra, non deve assolutamente cambiare l'estensione.
Il ransomware non tocca i file con estensioni come * .lib. Ciò significa che puoi creare i tuoi backup e nominarli * .lib invece di * .bak.
Leggi altre domande sui tag ransomware