¿Cuáles son las acciones de Locky en los archivos de origen que llevan al cifrado?

5

Durante las discusiones sobre posibles acciones para mitigar el riesgo del ransomware Locky , alguien señaló la posibilidad de evitar a nivel del sistema operativo la creación de archivos .locky a través de Administrador de recursos del servidor de archivos . La idea era que la imposibilidad de crear archivos .locky podría obstaculizar la ejecución del malware.

Ya que soy extremadamente escéptico acerca de la eficiencia de esta técnica, me gustaría entender la metodología utilizada por Locky cuando se trata de archivos específicos.

No me interesa cómo se realiza el cifrado, sino cuáles son los pasos que llevan de un archivo sano a la versión cifrada (específicamente: qué sucede cuando Locky no puede cifrar un archivo y qué sucede con un archivo después de que su contenido haya sido (exitosamente o no) encriptado).

¿Está disponible este análisis?

    
pregunta WoJ 16.03.2016 - 12:58
fuente

1 respuesta

1

¿Qué sucede cuando Locky no puede cifrar un archivo? Locky "falla" el cifrado cuando no puede acceder a uno de los servidores C & C. Intenta recibir la clave privada que se encuentra en el servidor C & C. Locky no puede fallar en el cifrado una vez que tenga la clave privada, a menos que todos los procesos de Locky se cancelen mientras se encripta. Esto significa que existe una gran posibilidad de que un archivo se dañe.

¿Qué sucede con un archivo después de que su contenido se haya cifrado (con éxito o no)? El contenido de un archivo encriptado será todo codificado. Este tamaño del archivo será diferente y la entropía también será mayor. El contenido de un archivo cifrado fallido será probablemente el mismo. Excepto que puede ser que el contenido sea más pequeño que el contenido original del archivo sin cifrar. Y una vez que lo descifre con la clave privada, lo más probable es que el archivo esté dañado.

    
respondido por el mike-stokkel 16.03.2016 - 14:11
fuente

Lea otras preguntas en las etiquetas