Pur avendo "troppo tempo" e dopo un attento pensiero da parte mia, ho scoperto che se si autentica a livello di applicazione, il ransomware dovrebbe analizzare attentamente tutti i file delle impostazioni conosciute per recuperare le credenziali di accesso e quindi implementare il backend -accesso protocolli per effettivamente anche prendere questo riscatto di dati.
Finora per l'introduzione e il "TL; DR", ora per una descrizione più specifica:
- Supponiamo di avere un computer che vogliamo proteggere da ransomware.
- Supponiamo che questo computer esegua backup regolari.
- Supponiamo che questi backup siano fatti da un'applicazione o un servizio sul computer a un server, questa applicazione potrebbe essere molto popolare (ma non fornita con il sistema operativo).
- Supponiamo che il sistema operativo non sia direttamente coinvolto nel processo di backup / non fornisce l'unità di destinazione come unità mappata.
- Supponiamo che l'applicazione si autentichi (con PK auth o username + password) sul server di back-end.
- Supponiamo che le credenziali di autenticazione siano archiviate in chiaro sul computer da proteggere (come al solito).
- Supponiamo infine che il server stesso sia sicuro di essere pulito da ransomware.
Il backup del computer è ora sicuro per essere attaccato con successo da un ransomware (non mirato)?