典型的赎金只会“攻击”某些文件夹/文件类型
我认为这在很大程度上是基于每一个恶意软件和操作系统,因此可能会非常广泛,因此是典型的。
一位用户的电脑被一件恶意软件感染,该软件的目的是加密他们的所有文件以勒索钱财。显然,它不会加密所有的东西,因为计算机将需要保持操作,以便尝试利用最终用户的资金,并降低在运行过程中检测的风险。
赎金如何知道什么是安全的加密,而不意外地‘射击自己的脚’。
- 它是否适用于特定的“典型”文件夹,比如${userhome}\图片、视频、音乐、文件、文档等。
- 它是否适用于某些预期的文件类型,例如doc\jpeg\mp3。
- 除了某些文件夹(例如窗口或程序文件)之外,它是否适用于任何东西。
另外,如果有多个驱动器(程序和操作系统的SSD,文件的HDD和共享程序/文件的网络驱动器等),或者程序没有存储在典型的地方,会发生什么?
我知道在一天结束的时候,攻击者并不关心他们是否给受害者的机器上砖块,但肯定的是,如果他们把每台机器都用砖块砌成砖块,那么他们就无法勒索钱财,从而绕过了整个赎金问题。(显而易见的答案是,他们期望普通用户只遵循相同的默认文件夹结构)。
回答 3
Security用户
发布于 2016-04-28 12:08:11
据我所知,典型的ransomware,例如著名的Locky病毒,根据文件扩展名以及所有本地和远程驱动器加密文件。
要把它分解:
赎金将扫描系统
- 本地驱动器(系统驱动、二次驱动、USB驱动器等)
- 远程驱动器(网络共享,如samba、nfs等)
- 具有特定预定义文件类型的文件(例如:.jpg、.avi、.doc)
这样,没有重要的操作系统文件被触及,但攻击者仍然有他们的“人质”。
如果您想知道系统上的哪些文件会受到影响,rootshell.be已经编写了批处理脚本来估计哪些文件将在您的系统中受到影响。脚本寻找的当前使用的扩展是Locky使用的扩展。当然,不同的ransomware可以使用不同的扩展,甚至可以使用不同的工作方式,比如彼佳。Petya的工作方式是覆盖MBR并引导到一个极简的操作系统中,而C:\驱动器则在后台完全加密。
资料来源(如果您想进一步阅读):
Security用户
发布于 2016-04-28 11:23:39
从攻击者的角度来考虑这次攻击。我应该只加密他们可能存储的信息,还是应该加密所有的东西,但我知道的东西才能让操作系统运行呢?
因此,它的不足是,它们加密了除特定位置之外的所有位置,即已知的操作系统文件夹。当然,由于这些都是众所周知的,因此它们可以简单地将这些数据排除在加密过程之外,并对其他所有内容进行加密。随着新的密码机变体,他们现在实际上是转移到网络,以妥协公司网络,以获得更大的回报,所以他们将看到网络驱动器,并采取这些以及。当然,这些都取决于赎金和该赎金的变体。
有关Cryptolocker确切威胁的更多技术细节,特别是:https://www.us-cert.gov/ncas/alerts/TA13-309A
Security用户
发布于 2016-04-29 11:39:18
这取决于你对典型的定义--那是一个移动的目标。我们现在已经看到了名为彼佳的ransomware的第一个实例,它不是加密文件,而是加密主文件表和主启动记录 (MBR)。MFT本质上管理所有的文件信息。
如果您加密MFT,您就不必对文件进行加密(快得多!)Petya用一个巨大的,可怕的红白头骨和十字骨代替主启动记录,在屏幕上用美元标记。而且,由于系统每次重新启动时都需要读取MBR/MFT,因此除了备份之外,不可能绕过它。
幸运的是,赎金的作者们犯了一个错误和把你的数据拿回来是可能的,但您可以确定:( a)下一个版本的恶意软件将有此修复,b)模仿者也将开始这样做。
https://security.stackexchange.com/questions/121770
复制相似问题
腾讯云开发者
