¿Están los cryptolockers 'silenciosos' alrededor?

Navega tus respuestas
1

Hace unos días noté una discusión en un sitio web sobre cryptolockers. Alguien dijo que un cryptolocker opera en silencio hasta que ha cifrado todos los archivos y luego es visible para el usuario.

El método de trabajo era cifrar silenciosamente todos los archivos. Una vez hecho esto, los cryptolockers esperan unas semanas y se activan para que no haya un respaldo disponible actualmente. Si un usuario intenta abrir un documento en el período de espera, el cryptolocker descifra rápidamente el archivo para que no note el cifrado.

No sé si esto es cierto, pero no he escuchado a nadie hablar de esta técnica aparte de esa persona en particular.

Personalmente apenas creo que exista este tipo de cryptolocker. ¿Qué sucede si se elimina el proceso de cifrado / ejecutable? ¿Eso significa que todos los archivos se cierran de golpe o permanecen abiertos porque no puede comunicarse con los servidores del criminal?

He presenciado alrededor de 4 ataques de Cryptolock en nuestra red. Todos fueron notados inmediatamente porque los archivos estaban encriptados. También puede saber por los archivos help_decrypt.txt ubicados en los directorios cifrados.

Saludos,

    
pregunta Luuk LG 21.02.2016 - 13:24
fuente

1 respuesta

1
  

Una vez hecho esto, los cryptolockers esperan unas semanas y se activan para que no haya una copia de seguridad disponible. Si un usuario intenta abrir un documento en el período de espera, el cryptolocker descifra rápidamente el archivo para que no note el cifrado.

Esto no tiene mucho sentido. Un proceso de copia de seguridad también intentaría acceder al archivo, por lo que el archivo se descifra durante la copia de seguridad y, por lo tanto, la copia de seguridad contendrá el archivo original.

  

Alguien dijo ...

Siempre pregunte por la fuente de tal reclamo. El hecho de que alguien en Internet haya dicho algo no significa que sea correcto.

Tal vez quien haya dicho esto ha leído sobre cryptolocker que espera antes de la activación, como se describe en Locker: Cryptolocker Progeny Despierta . Pero se trata de permanecer en silencio durante mucho tiempo y solo después de algún tiempo comenzar a cifrar archivos. Al aplazar la activación hasta una fecha específica, el ransomware evade el análisis dinámico porque no hace nada malo por ahora. Por lo tanto, se puede propagar sin que se detecte antes de que todos los durmientes se activen al mismo tiempo.

    
respondido por el Steffen Ullrich 21.02.2016 - 14:34
fuente

Lea otras preguntas en las etiquetas

¿Hay una manera de identificar de forma única un dispositivo móvil a través de la detección de paquetes? ¿Los vectores de ataque SSL MITM para servidor a servidor HTTPS usando un certificado no confiable?