it-swarm.com.de

Wie kann Ransomware Dateitypen kennen?

Wie kann Ransomware die Dateitypen ermitteln, wenn Ransomware die Dateien des Opfers im Scanschritt durchsucht?

Es kann den Dateinamen überprüfen (z. B. book.pdf) oder Dateisignaturen.

Ich frage mich, wann ich die Erweiterung im Namen meiner Datei ändere (z. B. book.pdf -> book.customEX), Ich denke, dass Ransomware meine Dateien nicht finden kann, so dass das Verschlüsseln von Dateien auch nicht möglich ist.

Kann ich einige Meinungen oder Ratschläge haben?

21
Hwan

Zunächst einmal sind nicht alle Ransomware-Programme gleich: Wie bei jeder Software sind einige Ransomware-Programme gut geschrieben, während andere schlecht geschrieben sind. Sie können sich einen Überblick über die wichtigsten Ransomware-Varianten unter wikipedia/ransomware verschaffen. Einige Ransomware-Programme - insbesondere CryptoLocker - verwenden Listen mit Dateierweiterungen, um zu entscheiden, welche Dateien verschlüsselt werden sollen, und warum nicht. Benutzer, die über ausreichende Kenntnisse verfügen, um ihre Dateierweiterungen zu ändern, verfügen wahrscheinlich über Backups und werden Sie sowieso nicht bezahlen. Wie @usr hervorhebt, können Sie mit einfachen Ansätzen immer noch viele Leute erreichen. Trotzdem ist einige Ransomware wie CryptoWall sehr hoch entwickelt, und obwohl ich nicht weiß, wie es funktioniert, kann ich darüber spekulieren, was möglich ist.


Wie Sie sagen, enthalten Dateien häufig eine "Dateisignatur" - einen kurzen Hex-Code am Anfang der Datei, der angibt, um welchen Dateityp es sich handelt. Hier sind zwei Listen dieser "magischen Zahlen" aus Wikipedia: [1] , [2] .

Das Windows-Betriebssystem selbst stützt sich ziemlich stark auf Dateierweiterungen im Dateinamen und ist notorisch spröde, wenn Sie es ändern, aber das bedeutet nicht, dass jede Software so schrecklich sein muss.

Zum Beispiel gibt es ein Standard-Unix-Dienstprogramm namens file , das die magische Zahl überprüft und Ihnen sagt, um welchen Dateityp es sich handelt. Es gibt keinen Grund, warum Ransomware nicht dasselbe tun kann.

(enter image description here

77
Mike Ounsworth

Das Schadprogramm erkennt Ihre Dateien anhand seiner Signaturen

Es gibt ein Beispiel (image.png):

hexdump -C image.png | head

beispielausgabe:

00000000  89 50 4e 47 0d 0a 1a 0a  00 00 00 0d 49 48 44 52  |.PNG........IHDR|
00000010  00 00 02 4a 00 00 00 bc  08 06 00 00 00 87 77 81  |...J..........w.|
00000020  b4 00 00 00 01 73 52 47  42 00 ae ce 1c e9 00 00  |.....sRGB.......|
00000030  00 04 67 41 4d 41 00 00  b1 8f 0b fc 61 05 00 00  |..gAMA......a...|
00000040  00 09 70 48 59 73 00 00  0e c4 00 00 0e c4 01 95  |..pHYs..........|
00000050  2b 0e 1b 00 00 24 b1 49  44 41 54 78 5e ed 96 8d  |+....$.IDATx^...|
00000060  ae 5d 29 08 85 fb fe 2f  dd 09 e9 30 e3 a5 8a 88  |.])..../...0....|
00000070  20 e8 e6 4b 48 7b e4 6f  01 bb 49 7f fd 2e 8a a2  | ..KH{.o..I.....|
00000080  28 8a a2 28 ba d4 7f 94  8a a2 28 8a a2 28 06 d4  |(..(......(..(..|
00000090  7f 94 8a a2 28 8a a2 28  06 d4 7f 94 8a a2 28 8a  |....(..(......(.|

Ich werde mein image.png zu deiner benutzerdefinierten Erweiterung customEX dann bekomme ich den Hexdump

Wieder werde ich hexdump -C image.customEX | head

Da ist die Ausgabe:

00000000  89 50 4e 47 0d 0a 1a 0a  00 00 00 0d 49 48 44 52  |.PNG........IHDR|
00000010  00 00 02 4a 00 00 00 bc  08 06 00 00 00 87 77 81  |...J..........w.|
00000020  b4 00 00 00 01 73 52 47  42 00 ae ce 1c e9 00 00  |.....sRGB.......|
00000030  00 04 67 41 4d 41 00 00  b1 8f 0b fc 61 05 00 00  |..gAMA......a...|
00000040  00 09 70 48 59 73 00 00  0e c4 00 00 0e c4 01 95  |..pHYs..........|
00000050  2b 0e 1b 00 00 24 b1 49  44 41 54 78 5e ed 96 8d  |+....$.IDATx^...|
00000060  ae 5d 29 08 85 fb fe 2f  dd 09 e9 30 e3 a5 8a 88  |.])..../...0....|
00000070  20 e8 e6 4b 48 7b e4 6f  01 bb 49 7f fd 2e 8a a2  | ..KH{.o..I.....|
00000080  28 8a a2 28 ba d4 7f 94  8a a2 28 8a a2 28 06 d4  |(..(......(..(..|
00000090  7f 94 8a a2 28 8a a2 28  06 d4 7f 94 8a a2 28 8a  |....(..(......(.|

Wie Sie sehen können, bleibt die Signatur der Datei unverändert und kann anhand der List_of_file_signatures überprüft werden

89 50 4E 47 
0D 0A 1A 0A

Kann ich einige Meinungen oder Ratschläge haben?

Sie müssen regelmäßig sichere Sicherungen Ihrer Daten erstellen (externe Festplatte ...) und das Gerät physisch von Ihrem PC trennen.

6
GAD3R

Die von mir entfernte Ransomware sucht normalerweise nach allgemeinen Dateierweiterungen. Wenn sie eine Übereinstimmung finden, führen sie ihr Verschlüsselungsskript aus und wechseln zur nächsten Datei.

Sie könnten sich auch den Header der Datei ansehen, aber das Ergreifen von Erweiterungen ist wahrscheinlich schädlich genug.

3
Cc Dd