web-dev-qa-db-ja.com

暗号化するファイルのマジックナンバーをチェックするランサムウェアの亜種はありますか?

ファイルを暗号化する前にファイルのマジックナンバーをチェックする既知のランサムウェアバリアント(Cryptolocker、Cryptowallなど)はありますか?

Wordファイルがあり、そのファイル拡張子が削除されたか、人気のないファイルに変更されたとしましょう。これをCC details(またはCC details.qwerty)と呼びます。このファイルには、マジック番号として50 4B 03 04が必要です。

ファイルの内容(または最初の数行だけ)をスキャンして、それが実際にはWordファイルであり、空白ではないことを確認するランサムウェアはありますか?

私はGoogleをチェックしましたが、見つかったのはランサムウェアのkovterでした。これはファイルの内容をスキャンし、最初の数行を難読化します。これは無効なファイルにつながります(ただし、実際には暗号化していません)。それは実際に私が探しているものではありません(多少正しい方向にあると思いますが)。

3
Laen

はい(しばらく前に、TeslaCryptのサブバージョンを見つけました)が、ほとんどは拡張機能のみを探します。完全なフォルダを暗号化するなど、動作が異なるものもあり、既知のドキュメントタイプのファイルの大部分が含まれます。 .txtの代わりに.txを使用するだけの簡単な方法で、ファイルを安全に保つことができます。問題は、バックアップを削除する方法がさまざまであることですが、それらのほとんどはシャドウコピーを無効にし、ポイントを復元し、いくつかの関連サービスを終了することに注意してください。

2
Overmind