¿Existe alguna variante de ransomware conocida (Cryptolocker, Cryptowall, etc.) que antes de cifrar los archivos verifique sus números mágicos?
Digamos que hay un archivo de Word, cuya extensión de archivo se eliminó o cambió por una no popular. Lo llamaremos CC details
(o CC details.qwerty
). Este archivo debe tener 50 4B 03 04
como sus números mágicos.
¿Se conoce algún ransomware que analice el contenido del archivo (o incluso las primeras líneas) para ver que realmente es un archivo de Word y no algo en blanco?
Verifiqué en Google y lo más que pude encontrar fue el ransomeware kovter, que escanea el contenido del archivo y confunde las primeras líneas, lo que lleva a un archivo no válido (aunque en realidad no lo cifra). Eso no es realmente lo que estoy buscando (aunque creo que está en la dirección correcta).