¿El ransomware típico solo 'ataca' a ciertas carpetas / tipos de archivos?

4

Supongo que esto se debe en gran medida al malware y al sistema operativo, por lo que potencialmente podría ser muy amplio, por lo tanto, el típico.

La computadora de un usuario ha sido infectada por un malware que tiene como objetivo cifrar todos sus archivos para extorsionar dinero. Obviamente, no va a cifrar todo, ya que la computadora deberá permanecer en funcionamiento para intentar explotar el dinero del usuario final y reducir el riesgo de detección mientras está en funcionamiento.

¿Cómo sabe el ransomware lo que es seguro cifrar sin accidentalmente "dispararse en el pie"?

  • ¿Se aplica a ciertas carpetas 'típicas' que dicen $ {userhome} \ pictures | music | documents | etc.
  • ¿Se aplica a ciertos tipos de archivos esperados, por ejemplo, doc | jpeg | mp3.
  • ¿Se aplica a todo, excepto a ciertas carpetas (por ejemplo, ventanas o archivos de programa)?

También, ¿qué sucede si hay varias unidades (por lo tanto, SSD para programas y SO, HDD para archivos y unidades de red para programas / archivos compartidos, etc.) o si los programas no están almacenados en los lugares típicos?

Al final del día, sé que al atacante no le importa que bloqueen una máquina de la víctima, pero seguramente si fueran a bloquear todas las máquinas, entonces no serían capaces de extorsionar dinero sin pasar por alto todo el aspecto del rescate. (La respuesta obvia es que esperan que los usuarios promedio sigan las mismas estructuras de carpetas predeterminadas).

    
pregunta Crazy Dino 28.04.2016 - 12:52
fuente

3 respuestas

2

Por lo que sé, el ransomware típico, como el famoso (dentro) famoso virus Locky, encripta los archivos según su extensión de archivo y en todas las unidades locales y remotas.

Para descomponerlo:

El ransomware escaneará el sistema para

  • Unidades locales (unidad del sistema, unidad secundaria, unidad USB, etc.)
  • Unidades remotas (recursos compartidos de red como samba, nfs, etc.)
  • Archivos con ciertos tipos de archivos predefinidos (por ejemplo, .jpg, .avi, .doc)

De esta manera no se tocan archivos importantes del sistema operativo, pero los atacantes aún tienen sus "rehenes".

Si quieres saber, qué archivos en tu sistema se verían afectados rootshell.be ha escrito un script por lotes para estimar qué archivos se verían afectados en su sistema. Las extensiones utilizadas actualmente que busca el script son las que usa Locky. Por supuesto, diferentes ransomware pueden usar diferentes extensiones o incluso trabajar diferentes como Petya . Petya funciona sobrescribiendo el MBR e iniciando un sistema operativo propio minimalista mientras la unidad C: \ se encripta completamente en el fondo.

Fuentes (si desea más información):

respondido por el Thorian 28.04.2016 - 14:08
fuente
0

Piensa en el ataque desde el punto de vista de un atacante. ¿Debo encriptar solo donde PUEDEN almacenar información, o debo encriptar todo menos lo que sé que se necesita para hacer funcionar el sistema operativo?

Así que, en resumen, cifran todas las ubicaciones excepto las determinadas, las carpetas del sistema operativo conocido. Por supuesto, ya que son muy conocidos, pueden simplemente excluirlos del proceso de encriptación y encriptar todo lo demás. Con las nuevas variantes de cryptolocker, en realidad ahora se están moviendo a las redes en un esfuerzo por comprometer las redes corporativas para obtener pagos más grandes, por lo que verán las unidades conectadas en red y las perseguirán también. Ahora, por supuesto, estos dependen del ransomware y la variante de ese ransomware.

Para obtener más detalles técnicos sobre la amenaza exacta de Cryptolocker específicamente: enlace

    
respondido por el Ryan Kelso 28.04.2016 - 13:23
fuente
0

Depende de su definición de típico , es un objetivo en movimiento. Ahora hemos visto la primera instancia de ransomware llamada Petya que, en lugar de cifrar los archivos, cifra el archivo maestro Tabla y el Registro de arranque maestro (MBR). Y la MFT esencialmente maneja la información del archivo toda .

Si cifras la MFT, no tienes que cifrar los archivos (¡mucho más rápido!). Petya reemplaza el registro de arranque maestro con una calavera grande y aterradora roja y blanca pintada con signos de dólar en la pantalla. Y dado que el sistema necesita leer el MBR / MFT cada vez que se reinicia, no hay que omitir esto (excepto las copias de seguridad).

Afortunadamente los autores del ransomware cometieron un error y es posible recuperar sus datos , pero puede estar seguro de que a) el Las siguientes versiones del malware tendrán esto arreglado y b) los copycats también comenzarán a hacer esto.

    
respondido por el Jan Doggen 29.04.2016 - 13:39
fuente

Lea otras preguntas en las etiquetas