Как вирусы-вымогатели выполняют свое шифрование?

235
KlaymenDK

Я знаю классическую настройку ... открой файл, нажми на ссылку - bam: выполнение вредоносного кода. О нет!

Но как это приводит к тому, что «все мои файлы внезапно зашифрованы»?

Оперативное слово здесь "внезапно". Применение шифрования файлов или полных дисков требует большого количества дискового и числового сжатия, и я не понимаю, как это происходит «немедленно». У меня есть теории ...

  • (A) Вирус заменяет дисковый драйвер на «потерянный», поэтому после перезагрузки он не может прочитать ваши файлы, которые не были зашифрованы (кроме сообщения вымогателя)

или же

  • (B) Вирус принудительно перезагружается и показывает случайное сообщение, а затем запускает задачу шифрования, пока пользователь читает сообщение и паникует .

Теперь в ситуации (A) простое решение состоит в том, чтобы прочитать диск с другого компьютера, который, очевидно, неэффективен, так что это не так. В ситуации (B), нужно (предполагая, что это не тотальная паника), чтобы иметь возможность (а) наблюдать за хрустом диска при выполнении задачи шифрования и (б) сохранять (некоторые) файлы, прерывая эту чертову задачу как как можно быстрее. Но учитывая, как быстро эти вирусы блокируют доступ даже к большим объемам сетевого хранилища, я тоже сомневаюсь в этой теории.

Так как же вирусы шифруют «много» данных «немедленно»?

Редактировать из-за комментариев: Ах, так это на самом деле ситуация (B).

1
Это не так. Компьютер перезагрузится и покажет некоторый код, который будет выглядеть как CHKDSK - это процесс шифрования. См. Эту [ссылку на «руководство Тома»] (https://www.tomsguide.com/us/petya-ransomware-attack,news-25389.html), например (раздел «Призрак бродит по Европе»). flolilolilo 6 лет назад 0
Он не делает это сразу, и они обычно фильтруют по различным расширениям файлов, чтобы попасть в тот файл, который интересует пользователей. Это значительно уменьшает количество файлов. Кроме того, это зависит от фактического шифрования, которое они используют, и нередко использовать несколько. Примеры включают TrueCrypt, в котором был хотя бы один режим, в котором вы должны были бы зашифровать симметричный ключ, который вы используете для быстрого потокового шифрования, используя асимметричный ключ, который вы используете для защиты симметричного ключа. Seth 6 лет назад 2
Согласно этому [блогу] (https://blog.barkly.com/how-fast-does-ransomware-encrypt-files) шифрование может произойти за считанные секунды. Химера: 18 секунд Петя: 27 секунд TeslaCrypt 4.0: 28 секунд CTB-Locker: 45 секунд TeslaCrypt 3.0: 45 секунд Virlock: 3 минуты 21 секунда CryptoWall: 16 минут Cown 6 лет назад 1
@ Учитывая 70 МБ файлов с современным процессором и файлы на твердотельном накопителе, я бы посчитал 18 секунд даже долгим временем. flolilolilo 6 лет назад 0
@flolilolilo Вы, вероятно, правы, но большинство вымогателей даже не шифрует весь диск, только важные файлы, указанные в списке расширений, так что я думаю, все равно будет гораздо меньше времени, чем полное шифрование диска. Cown 6 лет назад 0
@ Конечно, но учтите, что они хотят зашифровать все ваши личные вещи: JPEG (и RAW) с вашей двухзначной мегапиксельной камеры, ваш (без потерь?) Музыкальный архив, вашу коллекцию фильмов в fullHD, ... и просто несколько PDF, DOC / RTF-файлов и, возможно, ваши почтовые данные (если вы используете POP3). Если эти инструменты умные, то они будут сортировать объекты по размеру и начинать с самых маленьких файлов (вероятно, документов), поэтому, если вы обнаружите атаку с помощью вымогателей, по крайней мере, некоторый ущерб уже нанесен. Но опять же: утверждение, что это происходит мгновенно, явно неверно. flolilolilo 6 лет назад 0
@flolilolilo Правда, это зависит от объема данных и их сложности. Cown 6 лет назад 0

0 ответов на вопрос

Похожие вопросы