ไวรัสแรนซัมแวร์ทำการเข้ารหัสอย่างไร


1

ฉันรู้ว่าการตั้งค่าแบบคลาสสิก ... เปิดไฟล์คลิกลิงค์ - แบม: การเรียกใช้โค้ดที่เป็นอันตราย โอ้โห!

แต่นั่นจะนำไปสู่ ​​"ไฟล์ทั้งหมดของฉันถูกเข้ารหัสในทันใด" ได้อย่างไร

คำผ่าตัดที่นี่คือ "ทันใด" การใช้การเข้ารหัสไฟล์หรือการเข้ารหัสดิสก์แบบเต็มจะใช้เวลามากในการบีบอัดดิสก์และจำนวนมากและฉันไม่เข้าใจว่าจะเกิดอะไรขึ้น "ทันที" ฉันมีทฤษฎี ...

  • (A) ไวรัสจะแทนที่ดิสก์ไดรเวอร์ด้วย "borked" ดังนั้นเมื่อรีบูตเครื่องจะไม่สามารถอ่านไฟล์ที่ไม่ได้เข้ารหัสของคุณ (นอกเหนือจากข้อความ ransomware)

หรือ

  • (B) ไวรัสกองกำลังรีบูตและแสดงข้อความ randomware และจากนั้นก็วิ่งงานการเข้ารหัสขณะที่ผู้ใช้กำลังอ่านข้อความและตื่นตระหนก

ตอนนี้ในสถานการณ์ (A) วิธีแก้ปัญหาอย่างง่ายคือการอ่านไดรฟ์ด้วยคอมพิวเตอร์เครื่องอื่นซึ่งไม่มีประสิทธิภาพอย่างเห็นได้ชัด ในสถานการณ์ (B) สิ่งหนึ่งที่ควร (สมมติว่าไม่ใช่การตื่นตระหนกอย่างหมดจด) สามารถ (ก) สังเกตดิสก์ที่กระทืบขณะที่ภารกิจการเข้ารหัสทำงาน เร็วที่สุด แต่ด้วยความเร็วที่ไวรัสเหล่านี้บล็อกการเข้าถึงที่เก็บข้อมูลจำนวนมากที่เชื่อมต่อกับเครือข่ายฉันสงสัยในทฤษฎีนี้

ดังนั้นไวรัสจะเข้ารหัส "ข้อมูลจำนวนมาก" ทันที "อย่างไร

แก้ไขเนื่องจากความคิดเห็น: อาดังนั้นจึงเป็นสถานการณ์จริง (B)


มันไม่ได้ คอมพิวเตอร์จะรีสตาร์ทและแสดงรหัสบางอย่างที่จะดูเหมือน CHKDSK นั่นคือกระบวนการเข้ารหัส ดูลิงค์นี้เพื่อ "คู่มือของทอม"ตัวอย่าง (หมวด "ปีศาจกำลังสิงสู่ยุโรป")
flolilo

2
ไม่ได้ทำทันทีและพวกเขามักจะกรองไฟล์นามสกุลต่าง ๆ เพื่อให้ผู้ใช้ไฟล์ที่สนใจสนใจซึ่งจะช่วยลดจำนวนไฟล์ลงได้มาก นอกจากนี้ยังขึ้นอยู่กับการเข้ารหัสที่แท้จริงที่ใช้และไม่ใช่เรื่องแปลกที่จะใช้หลาย ๆ ตัวอย่าง ได้แก่ TrueCrypt ซึ่งมีอย่างน้อยหนึ่งโหมดที่คุณจะเข้ารหัสคีย์ symmetric ที่คุณใช้สำหรับการเข้ารหัสสตรีมอย่างรวดเร็วโดยใช้คีย์ asymmetric ที่คุณใช้เพื่อป้องกันคีย์ symmetric
เซ.

1
ตามการเข้ารหัสบล็อกนี้สามารถเกิดขึ้นได้ในไม่กี่วินาที ความฝัน: 18 วินาที Petya: 27 วินาที TeslaCrypt 4.0: 28 วินาที CTB-Locker: 45 วินาที TeslaCrypt 3.0: 45 วินาที Virlock: 3 นาที 21 วินาที CryptoWall: 16 นาที

@ มีขนาด 70MB พร้อมตัวประมวลผลที่ทันสมัยและไฟล์บน SSD ฉันควรพิจารณาถึง 18 วินาทีแม้จะเป็นช่วงเวลาที่ยาวนาน
flolilo

@flolilolilo คุณอาจจะถูก แต่ ransomwares ส่วนใหญ่ไม่ได้เข้ารหัสดิสก์ทั้งหมดเพียงไฟล์สำคัญที่ระบุจากรายการส่วนขยายดังนั้นฉันเดาว่าฉันยังคงใช้เวลาน้อยกว่าการเข้ารหัสดิสก์เต็มรูปแบบ
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.