¿Existe una variante de ransomware que verifique los números mágicos del archivo para cifrar?

3

¿Existe alguna variante de ransomware conocida (Cryptolocker, Cryptowall, etc.) que antes de cifrar los archivos verifique sus números mágicos?

Digamos que hay un archivo de Word, cuya extensión de archivo se eliminó o cambió por una no popular. Lo llamaremos CC details (o CC details.qwerty ). Este archivo debe tener 50 4B 03 04 como sus números mágicos.

¿Se conoce algún ransomware que analice el contenido del archivo (o incluso las primeras líneas) para ver que realmente es un archivo de Word y no algo en blanco?

Verifiqué en Google y lo más que pude encontrar fue el ransomeware kovter, que escanea el contenido del archivo y confunde las primeras líneas, lo que lleva a un archivo no válido (aunque en realidad no lo cifra). Eso no es realmente lo que estoy buscando (aunque creo que está en la dirección correcta).

    
pregunta Laen 26.05.2016 - 10:59
fuente

1 respuesta

1

Sí (encontré una subversión de TeslaCrypt para hacer eso hace un tiempo), pero la mayoría solo buscará extensiones. Algunos tienen comportamientos diferentes, como el cifrado de carpetas completas con la mayoría de los archivos de tipos de documentos conocidos. Algo tan simple como tener un .tx en lugar de .txt muchas veces mantendrá sus archivos seguros. El problema es que los métodos para eliminar cualquier copia de seguridad varían mucho, pero es importante tener en cuenta que la mayoría de ellos deshabilitarán las instantáneas, los puntos de restauración y la finalización de tareas en algunos servicios relacionados.

    
respondido por el Overmind 02.06.2016 - 13:59
fuente

Lea otras preguntas en las etiquetas