Wie führen die Ransomware-Viren ihre Verschlüsselung durch?

341
KlaymenDK

Ich kenne das klassische Setup ... eine Datei öffnen, einen Link anklicken - bam: Ausführung von bösartigem Code. Oh nein!

Aber wie führt das dazu, dass alle meine Dateien plötzlich verschlüsselt werden?

Das operative Wort hier lautet "plötzlich". Das Anwenden der Datei- oder vollständigen Festplattenverschlüsselung erfordert viel Festplatten- und Zahlenverschrottung, und ich verstehe nicht, wie das "sofort" geschieht. Ich habe Theorien ...

  • (A) Der Virus ersetzt den Festplattentreiber durch einen "verzerrten" Treiber, so dass er beim Neustart Ihre nicht tatsächlich verschlüsselten Dateien (außer der Ransomware-Nachricht) nicht lesen kann.

oder

  • (B) Der Virus erzwingt einen Neustart und zeigt eine zufällige Warnungsnachricht an. Anschließend führt er die Verschlüsselungsaufgabe aus, während der Benutzer die Nachricht liest und in Panik gerät .

In der Situation (A) besteht die einfache Lösung darin, das Laufwerk mit einem anderen Computer zu lesen, was offensichtlich unwirksam ist. In Situation (B) sollte (in der Annahme, dass es sich nicht um völlige Panik handelt) in der Lage sein, (a) zu beobachten, wie die Festplatte beim Ausführen der Verschlüsselungsaufgabe abbricht, und (b) (einige) Dateien zu retten, indem die verdammte Aufgabe als unterbrochen wird so schnell wie möglich. In Anbetracht der Geschwindigkeit, mit der diese Viren den Zugriff auf große Mengen an Netzwerkspeicher blockieren, bezweifle ich auch diese Theorie.

Also, wie machen Viren „eine Menge“ von Daten „sofort“ zu verschlüsseln?

Bearbeiten aufgrund Kommentare: Ah, soes ist eigentlich Situation (B).

1
Es tut nicht Der Computer wird neu gestartet und zeigt Code an, der wie CHKDSK aussieht - das ist der Verschlüsselungsprozess. Siehe dazu [Link zu "Toms Guide"] (https://www.tomsguide.com/us/petya-ransomware-attack,news-25389.html) (Abschnitt "Ein Gespenst spukt in Europa"). flolilolilo vor 7 Jahren 0
Dies geschieht nicht sofort und sie filtern in der Regel nach verschiedenen Dateierweiterungen, um die für die Benutzer interessanten Dateien zu treffen. Dies verringert die Anzahl der Dateien erheblich. Außerdem hängt es von der tatsächlichen Verschlüsselung ab, die sie verwenden, und es ist nicht ungewöhnlich, mehrere zu verwenden. Beispiele sind TrueCrypt, das mindestens einen Modus hatte, in dem Sie einen für die schnelle Stream-Verschlüsselung verwendeten symmetrischen Schlüssel mithilfe eines asymmetrischen Schlüssels verschlüsseln, den Sie zum Schutz des symmetrischen Schlüssels verwenden. Seth vor 7 Jahren 2
Nach diesem [Blog] (https://blog.barkly.com/how-fast-does-ransomware-encrypt-files) kann die Verschlüsselung in wenigen Sekunden erfolgen. Chimäre: 18 Sekunden Petya: 27 Sekunden TeslaCrypt 4.0: 28 Sekunden CTB-Locker: 45 Sekunden TeslaCrypt 3.0: 45 Sekunden Virlock: 3 Minuten 21 Sekunden CryptoWall: 16 Minuten Cown vor 7 Jahren 1
@Cown bei 70MB Dateien mit einem modernen Prozessor und den Dateien auf einer SSD, ich würde 18sec auch als eine lange Zeitspanne betrachten. flolilolilo vor 7 Jahren 0
@flolilolilo Sie haben wahrscheinlich Recht, aber die meisten Ransomwares verschlüsseln nicht einmal die gesamte Festplatte, sondern nur wichtige Dateien, die aus einer Erweiterungsliste angegeben werden, daher wäre meine Vermutung immer noch viel weniger Zeit als eine vollständige Festplattenverschlüsselung. Cown vor 7 Jahren 0
@Cown Sicher genug, aber bedenken Sie, dass Sie all Ihre privaten Dinge verschlüsseln möchten: JPEGs (und RAWs) Ihrer zweistelligen Megapixel-Cam, Ihr (verlustfreies?) Musikarchiv, Ihre Filmsammlung in Full-HD, ... und nur eine einige PDFs, DOC / RTF-Dateien und eventuell Ihre Mail-Daten (falls Sie POP3 verwenden). Wenn diese Tools intelligent sind, sortieren sie die Objekte nach Größe und beginnen mit den kleinsten Dateien (wahrscheinlich Dokumenten). Wenn Sie also den Ransomware-Angriff erkennen, ist bereits ein gewisser Schaden entstanden. Aber noch einmal: Die Behauptung, dass es sofort passiert, ist eindeutig falsch. flolilolilo vor 7 Jahren 0
@flolilolilo Richtig, es hängt davon ab, wie viele Daten und wie komplex sie sind. Cown vor 7 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme