¿Cómo puede ransomware conocer los tipos de archivos?

En primer lugar, no todos los ransomware se crean de la misma manera: como cualquier software, algunos ransomware están bien escritos, mientras que otros están mal escritos. Puede obtener una descripción general de las principales variantes de ransomware en wikipedia / ransomware . Algunos ransomware, especialmente CryptoLocker, utilizan listas de extensiones de archivos para decidir qué archivos cifrar y por qué no. Los usuarios con conocimientos suficientes para cambiar sus extensiones de archivo probablemente tengan copias de seguridad y no le pagarán de todos modos. Como señala @usr, aún puede obtener mucha gente con enfoques simples. Dicho esto, algunos ransomware, como CryptoWall, son muy sofisticados y, aunque no sé cómo funciona, puedo especular sobre lo que es posible.

Como usted dice, los archivos a menudo contienen una "firma de archivo", un código hexadecimal corto cerca del inicio del archivo que indica qué tipo de archivo es. Aquí hay dos listas de estos "números mágicos" de Wikipedia: [1] , [2] .

El propio sistema operativo Windows se basa bastante en las extensiones de archivo en el nombre del archivo y es notoriamente frágil si lo cambias, pero eso no significa que todo el software deba ser tan terrible.

Por ejemplo, hay una utilidad estándar de Unix llamada file que buscará el número mágico y le dirá ¿Qué tipo de archivo es? No hay razón para que ransomware no pueda hacer lo mismo.

El programa malicioso detectará sus archivos por su firmas

Hay un ejemplo (image.png):

hexdump -C image.png | head

salida de muestra:

00000000  89 50 4e 47 0d 0a 1a 0a  00 00 00 0d 49 48 44 52  |.PNG........IHDR|
00000010  00 00 02 4a 00 00 00 bc  08 06 00 00 00 87 77 81  |...J..........w.|
00000020  b4 00 00 00 01 73 52 47  42 00 ae ce 1c e9 00 00  |.....sRGB.......|
00000030  00 04 67 41 4d 41 00 00  b1 8f 0b fc 61 05 00 00  |..gAMA......a...|
00000040  00 09 70 48 59 73 00 00  0e c4 00 00 0e c4 01 95  |..pHYs..........|
00000050  2b 0e 1b 00 00 24 b1 49  44 41 54 78 5e ed 96 8d  |+....$.IDATx^...|
00000060  ae 5d 29 08 85 fb fe 2f  dd 09 e9 30 e3 a5 8a 88  |.])..../...0....|
00000070  20 e8 e6 4b 48 7b e4 6f  01 bb 49 7f fd 2e 8a a2  | ..KH{.o..I.....|
00000080  28 8a a2 28 ba d4 7f 94  8a a2 28 8a a2 28 06 d4  |(..(......(..(..|
00000090  7f 94 8a a2 28 8a a2 28  06 d4 7f 94 8a a2 28 8a  |....(..(......(.|

Cambiaré mi image.png a tu extensión personalizada customEX y luego obtendré el hexdump

Una vez más, ejecutaré hexdump -C image.customEX | head

Hay una salida:

00000000  89 50 4e 47 0d 0a 1a 0a  00 00 00 0d 49 48 44 52  |.PNG........IHDR|
00000010  00 00 02 4a 00 00 00 bc  08 06 00 00 00 87 77 81  |...J..........w.|
00000020  b4 00 00 00 01 73 52 47  42 00 ae ce 1c e9 00 00  |.....sRGB.......|
00000030  00 04 67 41 4d 41 00 00  b1 8f 0b fc 61 05 00 00  |..gAMA......a...|
00000040  00 09 70 48 59 73 00 00  0e c4 00 00 0e c4 01 95  |..pHYs..........|
00000050  2b 0e 1b 00 00 24 b1 49  44 41 54 78 5e ed 96 8d  |+....$.IDATx^...|
00000060  ae 5d 29 08 85 fb fe 2f  dd 09 e9 30 e3 a5 8a 88  |.])..../...0....|
00000070  20 e8 e6 4b 48 7b e4 6f  01 bb 49 7f fd 2e 8a a2  | ..KH{.o..I.....|
00000080  28 8a a2 28 ba d4 7f 94  8a a2 28 8a a2 28 06 d4  |(..(......(..(..|
00000090  7f 94 8a a2 28 8a a2 28  06 d4 7f 94 8a a2 28 8a  |....(..(......(.|

Como puede ver, la firma del archivo se mantiene sin cambios y se puede verificar en la List_of_file_signatures

89 50 4E 47 
0D 0A 1A 0A

  

¿Puedo tener algunas opiniones o consejos?

Debe crear copias de seguridad seguras de sus datos de forma regular (disco duro externo ...) y desconectar físicamente el dispositivo de su PC.

El ransomware que eliminé generalmente busca extensiones de archivo comunes. Cuando encuentran una coincidencia, ejecutan su secuencia de comandos de cifrado y pasan al siguiente archivo.

También podrían ver el encabezado del archivo, pero las extensiones de captura probablemente son lo suficientemente dañinas.

El ransomware, a menos que esté muy mal escrito, distinguirá los archivos de inicio de los archivos que no son de inicio. Sin embargo, este reconocimiento se basa en la configuración predeterminada, lo que podría causar un problema para alguien como yo que tiene un cargador de arranque / sector de arranque que escribieron. El ransomware puede cifrar estos archivos ya que no puede reconocerlos. Sin embargo, cifrar archivos de arranque regulares puede ser una buena idea. El ransomware puede reemplazar el cargador de arranque con uno que imita al cargador de arranque de Windows o Grub / Grub2, pero con la capacidad de leer estos archivos de arranque encriptados. De esa manera, se podría hacer que la computadora no arranque hasta que se pague el precio.

El ransomware probablemente verificará el número mágico.

El fallo del disco duro es un tipo de ransomware mucho más común. Haga una copia de seguridad de los archivos y haga una copia de seguridad fuera del sitio. Una instalación limpia funciona mucho mejor de todos modos.