security malware – ¿El ransomware típico solo 'ataca' ciertas carpetas / tipos de archivo?

Pregunta:

Espero que esto sea mucho por malware y sistema operativo, por lo que podría ser muy amplio, por lo tanto, lo típico.

La computadora de un usuario ha sido infectada por un malware que tiene como objetivo encriptar todos sus archivos para extorsionar. Obviamente, no va a cifrar todo, ya que la computadora deberá permanecer en funcionamiento para intentar explotar el dinero del usuario final y reducir el riesgo de detección mientras está en funcionamiento.

¿Cómo sabe el ransomware qué es seguro cifrar sin "dispararse en el pie" accidentalmente?

  • ¿Se aplica a ciertas carpetas 'típicas' como $ {inicio de usuario} \ imágenes | música | documentos | etc.
  • ¿Se aplica a ciertos tipos de archivos esperados, por ejemplo, doc | jpeg | mp3?
  • ¿Sirve para todo excepto para determinadas carpetas (por ejemplo, Windows o archivos de programa)?

Además, ¿qué sucede si hay varias unidades (SSD para programas y sistema operativo, HDD para archivos y unidades de red para programas / archivos compartidos, etc.) o si los programas no se almacenan en los lugares típicos?

Sé que al final del día al atacante no le importa si bloquean una máquina de las víctimas, pero seguramente si bloquean todas las máquinas, entonces no podrían extorsionar dinero sin pasar por alto todo el aspecto del rescate. (La respuesta obvia es que esperan que los usuarios promedio sigan las mismas estructuras de carpetas predeterminadas).

Respuesta:

Hasta donde yo sé, el ransomware típico, como el (in) famoso virus Locky, por ejemplo, cifra los archivos según su extensión y en todas las unidades locales y remotas.

Para desglosarlo:

El ransomware escaneará el sistema en busca de

  • Unidades locales (unidad del sistema, unidad secundaria, unidad USB, etc.)
  • Unidades remotas (recursos compartidos de red como samba, nfs, etc.)
  • Archivos con ciertos tipos de archivos predefinidos (por ejemplo: .jpg, .avi, .doc)

De esta manera, no se tocan archivos importantes del sistema operativo, pero los atacantes todavía tienen sus 'rehenes'.

Si desea saber qué archivos de su sistema se verían afectados, rootshell.be ha escrito un script por lotes para estimar qué archivos se verían afectados en su sistema. Las extensiones utilizadas actualmente que busca el script son las que usa Locky. Por supuesto, diferentes ransomware pueden usar diferentes extensiones o incluso funcionar de manera diferente como Petya . Petya funciona sobrescribiendo el MBR y arrancando en un sistema operativo propio minimalista mientras que la unidad C: \ se cifra completamente en segundo plano.

Fuentes (si desea leer más):

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım