Ataques de rescate: ¿puedo protegerme cifrando todos mis archivos? [duplicar]

TLDR: cualquier cifrado de archivo no te protege contra el ataque de rescate.

Podemos considerar dos escenarios:

1. Cifras tus archivos con algunas herramientas (por ejemplo, zip cifrado),
2. Ha cifrado la partición completa (Truecrypt, dm-crypt, etc.).

En el primer caso, incluso si ha cifrado sus archivos, pueden volver a cifrarse con ransomware. Y entonces no podrás descifrarlos. Mala situación.

En el segundo caso, el ransomware vive en el tiempo de ejecución de la computadora (mientras lo estás usando), por lo tanto, tiene acceso a los archivos descifrados en tu computadora. La partición del disco se descifra durante el arranque y se cifra nuevamente cuando apaga su máquina. Una vez más, mala situación.

Un cifrado de archivos no lo protege contra el ransomware.

El ataque de arranque en frío es una historia un poco diferente y no debes considerarlo aquí para no confundirte.

He intentado explicarlo de la manera más fácil, espero haberte ayudado de alguna manera :)

Para proteger contra ransomware puedes (deberías) hacer al menos estas tres cosas:

1. No visite sitios maliciosos.
2. Haga una copia de seguridad de las cosas importantes (en una unidad separada, desenchufada) :)
3. También puede instalar algunos antivirus, EMET, etc. La probabilidad de ser atacado con éxito de rescate seguramente disminuirá.

Una simple analogía no técnica en forma de un plan de cuatro pasos ...

1. Tienes algo de dinero que no quieres que te roben.
2. Usted pone este dinero en una caja fuerte para que otras personas no puedan obtenerlo.
3. El malvado malvado de Nefarious quiere impedirte que consigas ese dinero también.
4. Nefarious Evil Doer encierra tu caja fuerte dentro de una caja fuerte más grande para la que no sabes la combinación.

Ahora ninguno de los dos puede obtener el dinero. Están fuera del costo de una caja fuerte, usted está fuera del costo de lo que estaba en su caja fuerte. Con Ransomware, su caja fuerte es básicamente gratuita.

Recuerda, no estás defendiendo contra ellos robando tus datos, estás defendiendo contra ellos efectivamente haciéndolos más seguros al cifrarlos.

Los ataques de ransomware funcionan cifrando sus archivos para que no tenga acceso a ellos más. Esto funciona independientemente de si sus archivos están encriptados o no, ya que el ransomware trata sus archivos como manchas opacas.

Si tiene suerte, y su ransomware hace file(1) , como las comprobaciones del tipo de archivo, sobre qué archivo cifrar (algunos ransomware solo cifran los datos que creen que son importantes para usted, como las imágenes). .

La forma solo para evitar daños por ataques de ransomware es mediante copias de seguridad verificadas.

  

Si cifro todos mis archivos, ¿puedo ser "atacado" por ataques de rescate?

Sí. De todos modos, volverán a cifrar sus datos y esperan que no tenga una copia de seguridad "fuera de línea".

  

Debido a que ya están encriptados, no pueden acceder a ellos, por lo que debería guardar o creo que estoy equivocado.

Está a salvo del hecho de que no podrán acceder a su información, pero de todos modos tiene problemas si no tiene una copia de seguridad.

  

Además, si alguien pudiera decirme cómo funciona este cifrado, estaría muy agradecido.

Eche un vistazo a este artículo fácil de entender y bien escrito: ¿Cómo funciona el cifrado? ¿Es realmente seguro? ?

  

Ya leí algunos artículos en Wikipedia y estoy seguro de que el cifrado no funciona durante el arranque (en el artículo en inglés se llama Cold-Boot-Attack), ¿sería posible obtener acceso a los archivos de alguna manera al iniciar? No es que lo necesite ahora, pero nunca se sabe.

Tiene razón, a menos que el sistema como un sistema de autenticación pre-arranque incrustado.

La autenticación previa al inicio (PBA) o la autenticación de encendido (POA) sirve como una extensión del BIOS o del firmware de inicio y garantiza un entorno seguro y a prueba de manipulaciones externo al sistema operativo como una capa de autenticación confiable.

Solo agregando a las otras respuestas por qué el cifrado no te salva de un mayor cifrado.

Digamos que su archivo solo contiene 4 letras, "abc4" (o simplemente piense que es una cadena simple)

Cifras ese archivo con un cifrado muy simple que toma una "contraseña" y luego agrega esto a cada carácter de tu archivo. Tomamos "3" como contraseña para que nuestro método de encriptación tenga este aspecto:

for (int i=0; i<file_length; i++){
    file[i]=file[i]+3}

Agrega 3 a cada espacio en nuestro archivo para que "abc4" se convierta en "def7"

La función de descifrado para esto sería la siguiente (tenga en cuenta que - firme como "revertimos" el cifrado):

for (int i=0; i<file_length; i++){
    file[i]=file[i]-3}

dando como resultado nuestra cadena inicial "abc4"

Si ahora el ransomeware intenta cifrar su archivo, realmente no importa si ya está cifrado o no. Tomando el siguiente método de cifrado para el ransomware:

 for (int i=0; i<file_length; i++){
    file[i]=file[i]*2}

tu archivo encriptado (def7) se convertirá en "hjl14" (digamos que 10 viene después de 9 en ese formato).

Si ahora intenta descifrar "hjl14" con su método de restar todo por 3, obtendría "egi11" que aún sería ilegible para usted.

Como se señaló en las otras respuestas, el cifrado no funciona, no impide que los datos se vuelvan a cifrar. La única forma en que podría ponerle fin a esto es mediante el uso de una computadora vieja como cebo, si los datos de esa computadora se cifran mediante ransomware y solicitan el pago, puede intentar comunicarse con la policía y configurar el pago. que pueden ser atrapados.