ファイルを暗号化する前にファイルのマジックナンバーをチェックする既知のランサムウェアバリアント(Cryptolocker、Cryptowallなど)はありますか?
Wordファイルがあり、そのファイル拡張子が削除されたか、人気のないファイルに変更されたとしましょう。これをCC details
(またはCC details.qwerty
)と呼びます。このファイルには、マジック番号として50 4B 03 04
が必要です。
ファイルの内容(または最初の数行だけ)をスキャンして、それが実際にはWordファイルであり、空白ではないことを確認するランサムウェアはありますか?
私はGoogleをチェックしましたが、見つかったのはランサムウェアのkovterでした。これはファイルの内容をスキャンし、最初の数行を難読化します。これは無効なファイルにつながります(ただし、実際には暗号化していません)。それは実際に私が探しているものではありません(多少正しい方向にあると思いますが)。
はい(しばらく前に、TeslaCryptのサブバージョンを見つけました)が、ほとんどは拡張機能のみを探します。完全なフォルダを暗号化するなど、動作が異なるものもあり、既知のドキュメントタイプのファイルの大部分が含まれます。 .txtの代わりに.txを使用するだけの簡単な方法で、ファイルを安全に保つことができます。問題は、バックアップを削除する方法がさまざまであることですが、それらのほとんどはシャドウコピーを無効にし、ポイントを復元し、いくつかの関連サービスを終了することに注意してください。