¿Hay algún tipo de archivo que no se pueda cifrar? ¿Hay algún dato que no pueda ser encriptado por los métodos regulares de encriptación RSA?
Además, ¿alguien sabe qué archivos encripta realmente la familia cryptolocker? ¿Hay algún tipo de archivo que sea seguro en este momento?
No, cualquier dato puede ser encriptado. Hay algunos tipos de datos que no tiene mucho sentido cifrar (por ejemplo, datos que ya están cifrados), pero no hay nada que le impida de forma inherente que lo haga. Recuerde que la mayoría de los algoritmos de cifrado no funcionan en archivos internamente, sino que funcionan en flujos de bits. Dado que todos los archivos están formados por flujos de bits, no les importa cuál es el contenido real y felizmente emitirán un flujo diferente de bits que llamamos texto cifrado o archivo cifrado.
Como resultado de esto, técnicamente no hay restricciones sobre lo que cualquier ransomware podría cifrar. Sería completamente factible tener una aplicación de ransomware que usara la fuente Truecrypt y realizara el cifrado completo del disco, dejando un área de arranque mínima que solicita una clave de descifrado una vez que hayas pagado el rescate.
Cualquier diseñador que no esté encriptado por Cryptolocker u otro malware similar está sujeto a elecciones específicas de los diseñadores. Es posible que hayan decidido que cifrar los archivos .dll podría romper Windows demasiado para que el usuario pueda acceder a los métodos de pago, o que a nadie le importó lo suficiente sus archivos .bat para que valga la pena cifrarlos. Esto también sugiere que confiar en tipos de archivos específicos no cifrados es una mala estrategia, ya que sería trivial para los diseñadores cambiarlos en cualquier momento.
Como se indica, cualquier dato puede ser encriptado. Los datos digitalizados en su nivel más bajo son una cadena de 1 y 0, a un nivel ligeramente más alto se puede expresar en hexadecimal (números en un formato de base 16) y en un nivel más alto que solo una colección de números asignados al caracteres que reconocemos a través de un esquema de codificación, como ASCII, por ejemplo ... vemos "a", pero eso es solo el carácter 97 (decimal) en el tabla de codificación de caracteres ASCII .
Entonces, todos los datos digitales son una colección de números, y los algoritmos criptográficos no son más que funciones matemáticas muy complicadas. Entonces sí, alimenta los números a una función matemática y obtendrás diferentes números. Puede hacer eso con cualquier número, por lo tanto, por extensión, puede hacerlo con cualquier tipo de datos / tipo de computadora. Obviamente, tiene más sentido hacer con algunos archivos que otros, pero al mismo tiempo, también hay cifrado completo del disco, que cifrará todo en un disco, incluyendo (pero no limitado a) cada archivo.
Cryptolocker y la mayoría de los tipos de archivos de documentos de destino de malware criptográfico relacionados para el cifrado. Específicamente, los tipos de archivos que están encriptados varían según la variante o familia específica, pero generalmente es algo que un usuario final puede usar directamente. Imágenes, documentos de Office, archivos PDF, archivos multimedia (audio y / o video), etc. La razón de esto es simple economía: quieren identificar los archivos que los usuarios a) están dispuestos a pagar para recuperarse yb) no pueden recuperarlos simplemente reinstalando cualquier sistema operativo o programa.
La lista de tipos de archivos cifrados por Cryptolocker, específicamente :
* .odt, * .ods, * .odp, * .odm, * .odc, * .odb, * .doc, * .docx, * .docm, * .wps, * .xls, * .xlsx , * .xlsm, * .xlsb, * .xlk, * .ppt, * .pptx, * .pptm, * .mdb, * .accdb, * .pst, * .dwg, * .dxf, * .dxg, * .wpd, * .rtf, * .wb2, * .mdf, * .dbf, * .psd, * .pdd, * .pdf, * .eps, * .ai, * .indd, * .cdr, * .jpg , * .jpe, * .jpg, * .dng, * .3fr, * .arw, * .srf, * .sr2, * .bay, * .crw, * .cr2, * .dcr, * .kdc, * .erf, * .mef, * .mrw, * .nef, * .nrw, * .orf, * .raf, * .raw, * .rwl, * .rw2, * .r3d, * .ptx, * .pef , * .srw, * .x3f, * .der, * .cer, * .crt, * .pem, * .pfx, * .p12, * .p7b, * .p7c
Tenga en cuenta que Cryptolocker es solo una de las familias de crypto ransomware ... también hay CryptoWall y otros. Las variantes de CryptoWall tienden a centrarse más en los archivos multimedia y similares que Cryptolocker, además de incluir técnicas más avanzadas para eliminar las instantáneas y otros métodos de recuperación de archivos sin tener que pagar. Probablemente también vale la pena señalar que Cryptolocker apunta a más tipos de archivos de uso empresarial que CryptoWall.
A medida que el sistema operativo y sus aplicaciones se convierten en la plataforma de entrega para la demanda de rescate, las principales familias de crypto ransomware evitan los archivos del sistema. Por un lado, la mayoría de los usuarios no sabrían lo que hace un archivo dll o exe dado, y por otro, si se tratara de cifrar esos archivos, el sistema quedaría inutilizable, lo que evitaría que se entregara la demanda de rescate. Entonces, en cuanto a los tipos de archivos que están a salvo de Cryptolocker, específicamente, cualquier cosa que no esté en la lista anterior, pero en cuanto a lo que está a salvo de crypto ransomware en general ... no mucho.
Las mejores estrategias de mitigación son las copias de seguridad de sus datos, el uso adecuado de los permisos de la cuenta (y no la ejecución como usuario administrativo), ya que estos programas operan con los permisos de cualquier cuenta de usuario para ejecutarlos, y al menos para Windows. sistemas basados en, restricciones sobre qué aplicaciones pueden ejecutarse desde las carpetas temporales de los usuarios .
Lea otras preguntas en las etiquetas cryptography encryption ransomware rsa